Praha, 23. září 2021 – Avast (LSE:AVST), globální lídr v oblasti digitální bezpečnosti a ochrany soukromí, identifikoval škodlivou spamovou kampaň (malspam), která šíří BluStealer, druh malwaru určeného ke krádeži kryptoměn, jako Bitcoin, Ethereum, Monero a Litecoin, z populárních peněženek jako jsou ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda a Coinomi. Výzkumníci z týmu Avast Threat Intelligence objevili 10. září nárůst malspamových kampaní zneužívajících jména přepravní společnosti DHL a mexického zpracovatele kovů General de Perfiles. Avast vystopoval a zablokoval přibližně 12 000 škodlivých e-mailů distribuujících BluStealer. Mezi země nejvíce zasažené šířením malspamové kampaně patří Turecko, Spojené státy, Argentina, Velká Británie, Itálie, Řecko, Španělsko, Česko a Rumunsko.

Malspamová kampaň DHL rozesílá obětem e-maily napodobující vzhled skutečných zpráv od DHL, aby vzbudily falešný pocit bezpečí. E-mail informuje uživatele o tom, že balíček byl z důvodu nedostupnosti příjemce doručen do centrálního skladu. Příjemce je následně vyzván k vyplnění přiloženého formuláře, aby mohl doručení balíku přeložit na jiný termín. Když se ale pokusí přílohu otevřít, spustí se instalace BluStealeru. 

Příklad podvodného e-mailu napodobující společnost DHL

V případě General de Perfiles obdrží příjemci e-mailem informaci, že mají přeplatek na fakturách a že jim byl ponechán kredit, který jim bude odečten při dalším nákupu. Stejně jako kampaň DHL obsahuje i zpráva General de Perfiles škodlivou přílohu BluStealer.

BluStealer je keylogger, uploader dokumentů a nástroj na krádež kryptoměn v jednom. Z kryptopeněženek dokáže ukrást data, jako jsou soukromé klíče a přihlašovací údaje, díky čemuž může oběť ztratit přístup k peněžence. BluStealer také detekuje kryptoadresy zkopírované do schránky a nahradí je útočníkovými předdefinovanými, takže kryptoměny jsou převedeny do kapsy kyberzločince namísto legitimního příjemce.

V jedné z peněženek, která podle výzkumníků Avastu patří skupině kyberzločinců používajících BluStealer, je v současnosti přes 2,09 Bitcoinu, což činí v přepočtu více než 1 900 000 Kč. Ještě v pondělí 20. září peněženka přitom obsahovala jen 1.6 Bitcoinu.

„Kryptoměny jsou stále populárnější a podle odhadů burzovní platformy Crypto.com vlastní kryptoměny více než 100 milionů lidí na celém světě. Transakce s kryptoměnami je navíc obtížnější sledovat a rušit. To vše dělá z uživatelů kryptoměn atraktivní cíl pro kyberzločince,“ říká výzkumník malwaru v Avastu Anh Ho. „Pozorované malspamové kampaně využívají sociální inženýrství a zneužívají kredibilitu velkých  společností, aby lidi přiměly k otevření přílohy. Jedná se o starý trik použitý s novým typem hrozby, a proto uživatelům doporučujeme neustálou obezřetnost před tím, než kliknou na jakoukoli přílohu.“

Jak BluStealer funguje

Velký počet vzorků, které Avast zachytil, pochází z konkrétní kampaně, která je rozpoznatelná díky unikátnímu zavaděči .NET. Oba vzorky e-mailů obsahují přílohy .iso a adresy URL pro stahování. Přílohy obsahují spustitelné soubory malwaru zabalené se zmíněným zavaděčem .NET.

Jak se BluStealeru vyhnout

Uživatelé programů Avast One Essentials, Avast Free Antivirus a jejich placených verzí jsou před BluStealerem chráněni. Avast doporučuje uživatelům, aby si dávali pozor na e-maily, které tvrdí, že obsahují faktury za dopravu nebo dobropisy, a neotevírali přílohy v nevyžádaných nebo nedůvěryhodných zprávách.

Další informace jsou k dispozici na blogu Avast Decoded.