СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 июня
#ИБ

BlueWallet-ловушка для Mac крадёт криптокошельки и пароли

Специалисты по кибербезопасности выявили вредоносную кампанию, нацеленную на пользователей Mac и маскирующуюся под легитимный Bitcoin wallet BlueWallet. Вместо эксплуатации уязвимостей в macOS злоумышленники сделали ставку на social engineering: жертву убеждают загрузить и запустить вредоносный AppleScript, который выглядит безобидным, но в действительности открывает доступ к конфиденциальной информации на устройстве.

По данным отчета, эта схема особенно опасна для тех, кто хранит на компьютере криптовалютные кошельки, пароли, документы и данные для двухфакторной аутентификации. Вредоносное ПО не только собирает информацию, но и перехватывает содержимое clipboard, подменяя адреса криптокошельков на адреса, контролируемые атакующими. Таким образом средства могут быть незаметно перенаправлены во время обычной транзакции.

Как работает атака

Метод доставки построен так, чтобы обойти базовые проверки безопасности. Скрипт инструктирует доверенный инструмент macOS выполнять код, из-за чего его вредоносная природа скрывается от пользователя.

Атака развивается в две основные стадии:

  • Первая стадия — небольшой AppleScript, замаскированный под системное обновление. Он загружает основную payload через скрытую команду, выполняемую в background.
  • Вторая стадия — после запуска создает скрытую рабочую директорию и извлекает configuration из слабо obfuscated значений.

Отдельное внимание исследователи уделяют тому, что вредоносное ПО использует Telegram не только как канал управления, но и как инструмент для exfiltration данных. Такое решение повышает скрытность операции и осложняет мониторинг активности.

Какие данные под угрозой

Цель кампании — не только криптовалютные активы, но и широкий набор цифровых ресурсов, которые могут быть использованы для дальнейшего захвата учетных записей и финансовых операций.

В числе приоритетных целей указаны:

  • криптокошельки и связанные инструменты, включая Electrum, Exodus и Trezor Suite;
  • browser wallet extensions;
  • password managers, в том числе LastPass и Bitwarden;
  • приложения для двухфакторной аутентификации, включая Google Authenticator;
  • session data из приложений для общения, включая Telegram и Discord.

ВПО также архивирует собранные данные перед отправкой на канал управления через Telegram. Это позволяет сократить заметность трафика и одновременно упрощает централизованное получение информации злоумышленниками.

Перехват clipboard и кража транзакций

Одним из наиболее опасных компонентов кампании стал непрерывный мониторинг clipboard. Вредоносное ПО отслеживает появление адресов криптовалют и заменяет их на подставные значения, контролируемые атакующими. Для пользователя процесс выглядит привычно, но на деле перевод уходит на чужой адрес.

Именно эта техника делает угрозу особенно опасной: жертва может не заметить подмену даже после совершения операции, поскольку атака происходит в реальном времени и встроена в повседневное использование macOS.

Почему угрозу трудно обнаружить

Сложность обнаружения связана с тем, что вредоносная схема опирается на легитимные функции macOS и ожидаемо сложна для маркировки как malicious в каналах коммуникации Telegram. Кроме того, использование AppleScript и обычных системных механизмов затрудняет автоматическое выявление.

Эксперты отмечают, что для обнаружения могут помочь поведенческие индикаторы, связанные с неожиданным запуском скриптов и использованием Telegram в качестве канала управления. Внимание к таким аномалиям становится критически важным для своевременного реагирования.

Что это означает для пользователей

Эта кампания показывает, как быстро меняется ландшафт киберугроз: злоумышленники все чаще используют не технические уязвимости, а доверие пользователя и привычные инструменты операционной системы. Для владельцев Mac это означает необходимость повышенной осторожности при загрузке программ, особенно если речь идет о криптовалютных кошельках или утилитах, которые обещают «быстрый» доступ к сервисам.

Вывод: поддельный BlueWallet стал очередным примером того, как social engineering, clipboard hijacking и скрытая эксфильтрация данных через Telegram формируют эффективную многоступенчатую угрозу для пользователей Mac.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: