Prag, Tschechische Republik, 2. November 2021 – Avast hat eine bösartige Malspam-Kampagne identifiziert, die den Krypto-Stealer „BluStealer“ massenhaft verteilt. Die Malware ist darauf ausgelegt, Kryptowährungen (1) wie Bitcoin oder Ethereum zu stehlen. BluStealer ist dabei Keylogger, Dokument-Uploader und Kryptowährungsdieb in einer einzigen Malware. Im September entdeckten die Fachleute des Avast Threat-Intelligence-Teams eine Häufung von Malspam-Kampagnen, die die Namen des Versandunternehmens DHL und des mexikanischen Metallproduktionsunternehmens General de Perfiles missbrauchten. Dabei hat der weltweit führende Anbieter von IT-Sicherheits- und Datenschutzlösungen Avast rund 12.000 bösartige E-Mails aufgespürt und blockiert, die BluStealer verbreiten.
Allein in einer der Kryptowallets, die die Avast-Forscher*innen auf die Cyber-Kriminellen zurückführen, sind inzwischen über 4,0496 Bitcoins eingegangen, was derzeit rund 205.572,95 Euro entspricht. Vor einem Monat lag der Zahlungseingang noch bei 2,26 Bitcoins. Zu den Ländern, die am stärksten von der Verbreitung der Malspam-Kampagne betroffen sind, gehören die Türkei, die Vereinigten Staaten, Argentinien, das Vereinigte Königreich, Italien, Griechenland und Spanien. Aber auch in Deutschland und Frankreich häufen sich die Attacken mit hunderten von E-Mails, die Avast blocken musste.
Mit der DHL-Malspam-Kampagne senden Kriminelle an ihre Opfer E-Mails mit DHL-Versandbenachrichtigungen. Diese sehen täuschend echt aus, um so die Adressaten in falscher Sicherheit zu wiegen. Die E-Mails informieren Nutzer*innen darüber, dass ein Paket aufgrund der Abwesenheit des Empfängers an die Zentrale zugestellt wurde. Der Empfänger wird dann aufgefordert, ein angehängtes Formular auszufüllen, um die Zustellung des Pakets zu verschieben. Sollte der Benutzer versuchen, den Anhang zu öffnen, wird die Installation von BluStealer ausgelöst.
Im Beispiel von General de Perfiles erhalten die Opfer per E-Mail die Information, dass sie mehr als den geforderten Rechnungsbetrag bezahlt haben und dass ein Guthaben für sie einbehalten wurde, das mit dem nächsten Einkauf verrechnet wird. Genau wie die DHL-Kampagne enthält auch die Nachricht von General de Perfiles den bösartigen BluStealer-Anhang.
BluStealer kann Krypto-Wallet-Daten wie private Schlüssel und Anmeldeinformationen stehlen, was dazu führen kann, dass das Opfer den Zugang zu seiner Wallet verliert. BluStealer erkennt auch Krypto-Adressen, die in die Zwischenablage kopiert werden, und ersetzt diese durch die vordefinierten Adressen des Angreifers, sodass eine Überweisung von Krypto-Münzen in der Tasche des Cyberkriminellen und nicht in der des rechtmäßigen Inhabers landet.
„Kryptowährungen werden immer beliebter. Die Krypto-Börsenplattform Crypto.com schätzt, dass weltweit über 100 Millionen Menschen Kryptowährungen besitzen. Außerdem sind Kryptowährungstransaktionen schwerer zu verfolgen und rückgängig zu machen. All dies macht Krypto-Nutzer zu einem attraktiven Ziel für Cyberkriminelle“, sagt Anh Ho, Malware Researcher bei Avast. „Die Malspam-Kampagnen, die wir aufgespürt haben, nutzten Social Engineering, indem sie die Namen etablierter Unternehmen missbrauchten, um Menschen dazu zu bringen, auf einen Anhang zu klicken. Es handelt sich um einen alten Trick mit einer neuen Art von Bedrohung. Wir bitten die Menschen, weiterhin aufmerksam zu sein, bevor sie auf Anhänge klicken.“
Wie BluStealer funktioniert
Eine große Anzahl der von Avast gefundenen Muster stammt aus einer bestimmten Kampagne, die an einem eindeutigen .NET-Loader erkennbar ist. Beide E-Mail-Samples enthalten .iso-Anhänge und Download-URLs. Die Anhänge enthalten die ausführbaren Dateien der Malware, die mit dem erwähnten .NET-Loader gepackt sind.
Wie man BluStealer vermeiden kann
Nutzer von Avast One Essentials, Avast Free Antivirus und allen kostenpflichtigen Versionen sind vor BluStealer geschützt. Avast rät Anwendern, sich vor E-Mails in Acht zu nehmen, die vorgeben, Rechnungen oder Gutschriften zu enthalten, und keine Anhänge in unerwarteten oder nicht vertrauenswürdigen Nachrichten zu öffnen.
Weitere Informationen finden Sie im Avast Decoded Blog.
(1) Auch Monero und Litecoin aus beliebten Wallets wie ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda und Coinomi sind von der Malware betroffen.