Una campaña de suplantación dirigida a usuarios de mac aprovecha una web que imita la apariencia de BlueWallet para inducir a la víctima a ejecutar un archivo. La página descarga automáticamente un archivo llamado BlueWallet Installer.applescript y guía paso a paso cómo abrirlo en el Editor de scripts de macOS y pulsar el botón de reproducción, evitando así controles habituales del sistema.
Si se abre y ejecuta el archivo, el resultado es la ejecución silenciosa de un segundo script alojado en un servidor remoto. Ese segundo componente actúa como dropper y despacha una carga útil que recopila credenciales, monederos y vigila el portapapeles para sustituir direcciones de criptomonedas por direcciones controladas por los atacantes.
Cómo se entrega y por qué engaña
La página maliciosa, con un dominio similar al de la cartera legítima, inicia la descarga sin pedir más que la visita. El archivo .applescript resulta poco sospechoso para muchos usuarios porque macOS no aplica la misma cuarentena cuando un usuario abre un script en una herramienta de confianza y lo ejecuta manualmente. Así, la técnica explota la confianza del usuario en utilidades del sistema.
Mecanismo de ejecución
El AppleScript es breve: contiene un comando codificado en base64 que, al ejecutarse, usa curl para recuperar un script oculto en /tmp/.sysupd.sh, le da permisos ejecutables y lo lanza en segundo plano. A continuación, el script cierra el Editor de scripts sin guardar para borrar rastros obvios. Esta secuencia transforma una interacción inocente en la ejecución de código malicioso.
Ingeniería social como vector principal
El ataque no trata de quebrar protecciones de Apple, sino de convencer. La web modifica su propio contenido para parecer una guía de instalación legítima, incluso mostrando iconos y atajos de teclado reales, lo que facilita que la víctima pulse ⌘R y autorice la ejecución manual del código.
Qué roba el malware y cómo lo exfiltra
La carga útil actúa sobre múltiples frentes: extrae datos de navegadores, carteras de escritorio y extensiones, gestores de contraseñas, herramientas de autenticación, aplicaciones de mensajería y ficheros en carpetas personales. Entre los objetivos concretos están Electrum, Ledger Live, MetaMask, Phantom, y multitud de gestores de contraseñas como 1Password o Bitwarden.
Secuestro del portapapeles
Una de las funciones más críticas es el clip_watch, un bucle que monitoriza el portapapeles y detecta patrones de direcciones de bitcoin, Ethereum y Solana mediante expresiones regulares. Cuando identifica una dirección válida, envía la original al canal de control y reemplaza el portapapeles con una dirección del atacante usando pbcopy, de modo que el usuario pega la dirección maliciosa sin percibir el cambio.
Exfiltración y persistencia
Los datos recogidos se empaquetan con la utilidad ditto y se dividen en trozos para enviarlos a través de la API de un bot de Telegram, que actúa como canal de mando y control. El implante obtiene persistencia creando un LaunchAgent en ~/Library/LaunchAgents y cargándolo con launchctl para ejecutarse en cada inicio de sesión.
Indicadores y medidas de respuesta
Visitar la web sin ejecutar el archivo no compromete el equipo. Si el AppleScript se ejecutó, hay que asumir compromiso y actuar: desconectar de la red, analizar con un antivirus actualizado, cambiar contraseñas desde un equipo seguro y migrar criptomonedas a un monedero creado en un dispositivo limpio. Además, se recomienda buscar archivos sospechosos como /tmp/.sysupd.sh y elementos en ~/Library/LaunchAgents.
Recomendaciones operativas
Si hay dudas sobre la limpieza del sistema, lo más seguro es hacer copia de seguridad de datos esenciales y reinstalar macOS desde una fuente fiable. También conviene renovar claves SSH, credenciales en la nube y considerar las frases de recuperación de carteras como comprometidas si se usaron en el equipo afectado.
Detección y prevención
Se pueden detectar patrones claros: la ejecución desde el Editor de scripts de una cadena base64 que llama a curl, o la presencia de un archivo oculto descargado en /tmp. Los navegadores y gestores de descargas deberían tratar los archivos .applescript con mayor cautela, y los informes de abuso de tokens de Telegram pueden ayudar a cortar canales de control.
En resumen, la amenaza combina una técnica sencilla con una fuerte capa de ingeniería social: la defensa más eficaz es la precaución al abrir y ejecutar archivos descargados y la comprobación carácter por carácter de direcciones de envío antes de transferir fondos.
