Negli ultimi attacchi osservati, criminali hanno creato un sito web che imita il portafoglio Bitcoin legittimo BlueWallet per persuadere gli utenti Mac a scaricare ed eseguire un file apparentemente innocuo. BlueWallet non è stato violato; è invece stato sfruttato il nome e il marchio per dare affidabilità a un download malevolo. Il rischio concreto nasce quando la vittima segue le istruzioni e lancia lo script sul proprio sistema.
Come funziona l’inganno
La pagina truffaldina avvia automaticamente il salvataggio di un file denominato “BlueWallet Installer.applescript” appena caricata e poi guida l’utente a aprire il file in Script Editor e premere il pulsante di riproduzione (o la scorciatoia ⌘R). Questa procedura sfrutta il fatto che uno script lanciato manualmente da un’applicazione di sistema aggira i normali controlli di quarantena di macOS: il codice viene eseguito con l’autorizzazione dell’utente, senza che il sistema tenti di bloccarlo.
Il meccanismo tecnico in breve
Lo script iniziale non è complesso: decodifica ed esegue un comando shell che scarica uno script secondario nascosto in /tmp (un file con nome tipo .sysupd.sh), lo rende eseguibile e lo avvia in background. In pratica il primo file funge da dropper leggero e usa una catena di download per portare il vero payload sul dispositivo vittima.
Cosa sottrae il malware
La seconda fase del malware è progettata per estrarre dati in molte aree del sistema. Tra le categorie mirate si trovano: i dati dei browser (cronologia, cookie, login salvati), un ampio elenco di portafogli di criptovalute desktop e extension wallet, gestori di password, applicazioni di messaggistica, chiavi e file di configurazione per sviluppatori e cloud, e documenti personali che possono contenere frasi seed o chiavi private.
Portafogli e clipboard hijack
Un elemento particolarmente insidioso è la funzione che monitora gli appunti del sistema: rileva indirizzi di portafogli (Bitcoin, Ethereum, Solana) e li sostituisce con gli indirizzi controllati dagli attaccanti durante il copia/incolla. Così, anche se l’interfaccia mostra l’indirizzo atteso, i fondi finiscono altrove. Il malware archivia e invia i dati raccolti via Telegram bot e mantiene persistenza installando un LaunchAgent nell’account utente.
Segnali di compromissione e prime misure
Se hai solo visitato la pagina senza aprire o eseguire il file scaricato, non c’è compromissione. Il pericolo scatta quando viene eseguito lo script. In quel caso considera il Mac compromesso: scollega la macchina dalla rete, esegui una scansione completa con un antivirus aggiornato e modifica le credenziali da un dispositivo non compromesso, a partire dall’account e-mail e dagli exchange di criptovalute.
Controlli tecnici consigliati
Verifica la presenza di file sconosciuti in ~/Library/LaunchAgents e cerca file nascosti come /tmp/.sysupd.sh. Controlla le directory .ssh, .aws e .gnupg per eventuali chiavi rubate e cerca file sospetti nelle cartelle Desktop, Documenti e Download con estensioni tipo .wallet, .seed, .key o .kdbx. Se trovi un LaunchAgent sospetto, rimuoverlo non garantisce che il sistema sia pulito: la soluzione più sicura resta il backup dei dati e la reinstallazione pulita di macOS da una fonte fidata.
Perché l’attacco funziona: ingegneria sociale
L’aspetto chiave non è una vulnerabilità di Apple, ma la capacità di convincere l’utente a eseguire il codice. Man mano che i sistemi diventano più efficaci nel bloccare software malevoli, gli attaccanti investono sempre più in tecniche di social engineering, progettando pagine che riproducono fedelmente le istruzioni di uno strumento di sistema per indurre fiducia e azione.
Buone pratiche per gli utenti
Diffida di qualsiasi download che richieda di aprire un file in un editor di script o nel Terminale e di premere “Esegui”. Prima di trasferire criptovalute controlla l’indirizzo di destinazione carattere per carattere e preferisci dispositivi e portafogli nuovi o verificati quando sposti fondi. Mantieni backup offline delle frasi seed e considera le chiavi compromise se il sistema è stato eseguito con software sospetto.
Infine, conserva aggiornati gli strumenti di sicurezza e segnala domini fraudolenti alle piattaforme che ospitano i token dei bot e ai registrar. La combinazione di controlli tecnici e prudenza dell’utente è la difesa più efficace contro queste campagne.
