Мошенники подделывают сайт криптокошелька BlueWallet и атакуют пользователей macOS с помощью социальной инженерии

security

Пользователям криптовалютных кошельков на macOS стоит быть предельно внимательными при загрузке нового программного обеспечения. Обнаружена активная кампания по распространению вредоносного ПО, в рамках которой злоумышленники создали поддельный веб-сайт авторитетного биткоин-кошелька BlueWallet. Сама программа BlueWallet не была взломана или скомпрометирована. Злоумышленники лишь украли название и внешний вид легитимного кошелька, чтобы сделать свою вредоносную загрузку правдоподобной.

Описание

Для атаки используется простая, но крайне эффективная техника. Поддельный сайт предлагает пользователю скачать файл с расширением applescript и затем вручную открыть его во встроенном инструменте macOS под названием Script Editor. Веб-страница даёт чёткие инструкции: нажать кнопку воспроизведения в редакторе или использовать горячие клавиши Command+R. Исследователи сообщили о кампании, в ходе которой одно нажатие превращает компьютер в устройство для кражи паролей, данных браузеров, криптокошельков и других конфиденциальных сведений.

Как работает атака

Поддельная страница располагается по домену, который очень похож на настоящий адрес кошелька. Разница в одной букве заметна только при внимательном рассмотрении. Как только пользователь заходит на сайт, загрузка начинается автоматически через две секунды без какого-либо согласия. У файла в папке "Загрузки" стоит имя BlueWallet Installer.applescript - расширение, которое большинство людей никогда не видели и не имеют привычки считать опасным.

Спустя короткую паузу сайт переписывает собственный текст и начинает выглядеть как пошаговая инструкция по установке. Пользователю предлагают открыть файл, затем нажать кнопку воспроизведения. На странице даже нарисован небольшой синий треугольник, чтобы визуально соответствовать интерфейсу Script Editor, который скоро увидит жертва. Человек проходит все эти шаги самостоятельно, не подозревая об опасности.

Современная macOS блокирует запуск неподписанных приложений, загруженных из интернета. Однако файл скрипта, открытый в Script Editor и запущенный пользователем вручную, обходит этот механизм. Человек сам даёт команду запустить вредоносный код, поэтому система его не останавливает. Именно по этой причине злоумышленники выбрали формат applescript вместо обычного приложения.

Сам по себе скрипт очень короткий. Он содержит единственную команду оболочки, закодированную в base64, и сразу после выполнения закрывает Script Editor без сохранения. Это позволяет скрыть следы произошедшего. Декодированная команда загружает второй скрипт с удалённого сервера, сохраняет его в скрытый файл во временной папке с именем, маскирующимся под системное обновление, делает его исполняемым и запускает в фоновом режиме. Жертва не видит ничего из происходящего.

Что делает вредоносная программа

Второй этап заражения представляет собой полноценную программу для сбора данных. Она использует слабую, но достаточную для обмана простых поисковых инструментов обфускацию конфигурации. Параметры закодированы с помощью примитивной операции XOR. Ключ шифрования хранится прямо в файле, поэтому все закодированные данные восстанавливаются без проблем. Это сделано для того, чтобы антивирусы, ищущие только текстовые строки, не могли быстро обнаружить адреса командно-контрольных серверов.

Особого внимания заслуживает способ управления вредоносной программой. Злоумышленники используют встроенный API мессенджера Telegram. Весь канал связи, включая приём команд и отправку украденных данных, проходит через этот мессенджер. Telegram шифрует трафик и выглядит как обычный HTTPS, что позволяет обходить корпоративные фильтры, которые могли бы заблокировать неизвестный сервер.

Вредоносная программа собирает огромный объём информации. Она извлекает историю, файлы cookie, пароли и закладки из браузеров на основе Chromium и Firefox, а также из стандартного браузера Safari. Затрагиваются десятки различных браузеров, включая все популярные и многие редкие варианты.

Основной целью, судя по всему, являются криптовалютные кошельки. Программа атакует как настольные приложения вроде Electrum, Exodus, Ledger Live и Bitcoin Core, так и расширения для браузеров. Она ищет данные кошельков в экосистемах Bitcoin, Solana, Ethereum, Cosmos и других. Список включает десятки названий практически для всех популярных блокчейнов.

Кроме того, вредоносное ПО ворует локальные файлы менеджеров паролей, включая LastPass, 1Password и Bitwarden. Оно пытается скопировать данные приложений для двухфакторной аутентификации. Под удар попадают сессионные файлы Telegram Desktop и Discord. Программа также собирает ключи SSH, конфигурации облачных сервисов AWS и Kubernetes.

Уникальной особенностью является подмена адресов в буфере обмена. Если скопировать адрес криптовалютного кошелька перед отправкой средств, программа в фоновом режиме заменяет его на свой собственный. Внешне для пользователя всё выглядит нормально, но деньги уходят злоумышленникам. Для подмены используются реальные адреса Bitcoin, Ethereum и Solana, которые открыто видны в блокчейне.

Как защититься и что делать жертвам

Самый важный факт: само по себе посещение сайта и даже загрузка файла не несут угрозы. Атака возможна только в том случае, если пользователь открыл файл в редакторе скриптов и нажал кнопку запуска. Если этого не произошло, никакого заражения нет.

Тем, кто мог запустить вредоносный скрипт, следует немедленно отключить компьютер от сети, чтобы прервать канал управления. Затем необходимо запустить полную проверку системы обновлённым антивирусом. С другого доверенного устройства стоит сменить пароли ко всем аккаунтам, особенно к электронной почте и криптовалютным биржам. Криптовалюту нужно перевести в новый кошелёк, созданный на чистом устройстве.

Ситуация с подменой адресов в буфере обмена особенно опасна. Перед отправкой любой криптовалюты необходимо проверять полный адрес получателя посимвольно, а не полагаться на скопированный текст. В случае серьёзных сомнений лучшим решением будет сохранить резервную копию данных и полностью переустановить macOS из надёжного источника, а не пытаться очистить уже заражённую систему.

Эта кампания наглядно демонстрирует важнейший тренд современной кибербезопасности. Защита операционных систем становится настолько хорошей, что злоумышленникам всё сложнее использовать технические уязвимости. Вместо этого они вкладывают ресурсы в социальную инженерию - убеждение людей самостоятельно обойти все механизмы защиты. Любая загрузка, которая предлагает открыть файл в инструменте для разработчиков, редакторе скриптов или терминале и нажать кнопку запуска, должна вызывать немедленные подозрения.

Индикаторы компрометации

Domains

  • projects2026box.com
  • update-bluewallet.com

SHA256

  • 216277bdb7998b48852024fc8b5853c3dc50b3857fd22afd1320b884bcaa0a61

Clipboard-hijack addresses

  • BTC: bc1qrmj4ggshddhnxx3rxwvsu8pe9ut6cgx8mx364e
  • ETH: 0x2B871703122064e45d77146a6D5203da3bD192FA
  • SOL: 8dtdRQePrKz97FszwMEa4QvptdAAcbAFs7kBojr5Mz3v

Комментарии: 0