كشفت تقارير أمنية حديثة عن ظهور برمجية خبيثة جديدة تستهدف مستخدمي نظام التشغيل macOS، تُعرف باسم MonetaStealer. تعمل هذه البرمجية على سرقة المعلومات الحساسة من أجهزة المستخدمين عبر تكتيكات خداعية واستخدام ملفات متنكرة.
تم رصد MonetaStealer لأول مرة في 6 يناير 2026 بواسطة باحثين أمنيين، حيث تبين أنها تتخفى في شكل ملف تنفيذي باسم Portfolio_Review.exe. يمثل هذا الاكتشاف مصدر قلق متزايد لمستخدمي أجهزة Mac، لا سيما في القطاعات المهنية التي تتعامل بكثرة مع ملفات المشاريع.
MonetaStealer: تهديد جديد يستهدف مستخدمي macOS
تُعد MonetaStealer برمجية خبيثة مصممة لجمع بيانات حساسة من أنظمة macOS المصابة. تشمل المعلومات المستهدفة كلمات مرور المتصفحات، وبيانات محافظ العملات المشفرة، وبيانات اعتماد شبكات Wi-Fi، ومفاتيح SSH، بالإضافة إلى المستندات المالية.
ومن المثير للاهتمام أن هذه البرمجية تحتوي على شيفرة برمجية تتحقق تحديدًا من أنظمة macOS، مما يضمن تنفيذها فقط على أجهزة Apple. هذا التخصيص يشير إلى تطور في استهداف البرمجيات الخبيثة لأنظمة تشغيل محددة.
اعتماد على الذكاء الاصطناعي في التطور
ما يميز MonetaStealer بشكل خاص هو اعتمادها الكبير على شيفرة برمجية تم إنشاؤها بواسطة أدوات التعلم الآلي. يعتقد الباحثون أن هذا الاعتماد يشير إلى أن البرمجية لا تزال في مراحلها الأولى من التطوير، مما يوفر فرصة لفهم آليات عملها قبل نضوجها.
على الرغم من عدم اكتمالها، فقد سجلت MonetaStealer نسبة كشف صفر على منصة VirusTotal وقت اكتشافها. هذا يعني أنها كانت غير مرئية لمعظم حلول الأمن السيبراني، مما يجعلها تشكل تهديداً صامتاً.
وقد كشف تحليل الشيفرة البرمجية، الذي تم بدون تشفير أو تعتيم، عن وجود تعليقات باللغة الروسية. يشير ذلك إلى أن المطور ربما ركز على الوظائف الأساسية للبرمجية بدلاً من إخفاء آثاره.
آلية العمل وسرقة البيانات
عند تشغيلها، تعرض البرمجية رسالة تحمل شعار “PROFESSIONAL MACOS STEALER v2.0” وتتبع تقدمها خلال وحدات سرقة البيانات المختلفة. تستهدف MonetaStealer بشكل خاص بيانات متصفح Google Chrome، حيث تنشئ نسخًا مؤقتة لقواعد بيانات SQLite لتجاوز قيود الملفات.
للوصول إلى كلمات المرور المحفوظة، تستخدم البرمجية أمرًا محددًا لاسترداد المفتاح الرئيسي المشفر من macOS Keychain. يتطلب هذا الإجراء إدخال المستخدم لكلمة مرور Keychain الخاصة به، مما قد ينبه المستخدم اليقظ. فور الحصول على الإذن، تقوم البرمجية بجمع بيانات تسجيل الدخول، وملفات تعريف الارتباط للجلسات، وسجل التصفح.
يطبق وحدة سرقة ملفات تعريف الارتباط (cookies) تصفية قائمة على الكلمات المفتاحية للتركيز على الأهداف ذات القيمة العالية. تشمل هذه الكلمات “bank”, “crypto”, “exchange”, و “paypal” للبحث عنها في أسماء النطاقات لملفات تعريف الارتباط. هذا النهج يمكن البرمجية من إعطاء الأولوية لجلسات المنصات المالية وتلك المتعلقة بالعملات المشفرة.
بالإضافة إلى ذلك، تقوم البرمجية بجمع سجل التصفح عن طريق استخلاص عناوين URL، وعناوين الصفحات، وتردد الزيارات من قاعدة بيانات سجل Chrome. هذه المعلومات يمكن أن تكشف عن اهتمامات المستخدم، والخدمات التي يزورها بشكل متكرر، وتوفر أهدافًا إضافية للهجمات المستقبلية.
يتم تجميع كافة بيانات المتصفح التي تم جمعها وتنظيمها في قاموس تخزين داخلي للبرمجية، ليتم إرسالها لاحقًا عبر بنية تحتية لروبوت Telegram. تم تحديد البوت برقم “b746_mac_collector_bot” ومعرف “8384579537”.