Buenos Aires, Argentina, Septiembre 28, 2021 — Avast (LSE:AVST), líder global en seguridad digital y privacidad, ha identificado una campaña de spam malicioso (malspam) creada para propagar BluStealer, un tipo de malware diseñado para robar criptomonedas como Bitcoin, Ethereum, Monero y Litecoin de monederos populares como ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda y Coinomi. El 10 de septiembre, los investigadores de Avast Threat Intelligence descubrieron un pico en la actividad de campañas de malspam, abusando de los nombres de la empresa de envíos DHL y de la empresa mexicana de producción de metales General de Perfiles. Avast ha rastreado y bloqueado alrededor de 12.000 correos electrónicos maliciosos que distribuyen BluStealer. Los países más afectados por la propagación de la campaña de malspam son Turquía, Estados Unidos, Argentina, Reino Unido, Italia, Grecia, España, República Checa y Rumanía. En Argentina se han rastreado alrededor de 720 correos maliciosos.

La campaña de malspam de DHL envía correos electrónicos a las víctimas que imitan el diseño de un mensaje genuino de DHL con el fin de generar en la potencial víctima una falsa sensación de seguridad. El correo electrónico informa al usuario que un paquete ha sido entregado en su oficina central debido a la falta de disponibilidad del destinatario. A continuación, se pide al destinatario que rellene un formulario adjunto para reprogramar la entrega del paquete. Cuando el usuario intenta abrir el archivo adjunto, se activa la instalación de BluStealer. En el ejemplo de General de Perfiles, las personas a las que se dirige la campaña reciben información por correo electrónico de que han pagado facturas en exceso y que se les ha guardado un crédito que se cargará a su próxima compra. Al igual que la campaña de DHL, el mensaje de General de Perfiles incluye el archivo adjunto malicioso BluStealer.

BluStealer es un keylogger, un cargador de documentos y un ladrón de criptomonedas todo en un solo malware. Puede robar datos de carteras de criptomonedas, como claves privadas y credenciales, lo que puede hacer que la víctima pierda el acceso a su cartera. También se descubrió que BluStealer detecta las direcciones de criptomonedas copiadas en el portapapeles y las sustituye por las predefinidas por el atacante, de modo que la transferencia de criptomonedas llegará al bolsillo del ciberdelincuente en lugar del legítimo titular. 

Considerando solamente una de las criptocarteras que los investigadores de Avast han rastreado hasta el cibercriminal que utiliza BluStealer, este ha recibido hasta ahora una cantidad de más de 2,26 Bitcoins, lo que equivale a unos 94.200 USD en este momento. Tan solo la semana pasada la cuenta había recaudado 1,6 Bitcoins, por lo que el dinero robado aumenta drásticamente semana a semana.

"Las criptomonedas son cada vez más populares, y la plataforma de intercambio de criptomonedas Crypto.com estima que hay más de 100 millones de personas en todo el mundo que poseen criptomonedas. Además, las transacciones con criptomonedas son más difíciles de rastrear y deshacer. Todo esto hace que los usuarios de criptomonedas sean un objetivo atractivo para los ciberdelincuentes", dijo Anh Ho, investigador de malware de Avast. "Las campañas de malspam que hemos observado utilizan la ingeniería social, abusando de los nombres de empresas creíbles para convencer a la gente de que haga clic en un archivo adjunto. Es un viejo truco con un nuevo tipo de amenaza adjunta, y pedimos a la gente que siga siendo consciente antes de hacer clic en cualquier archivo adjunto."

¿Cómo funciona el BluStealer?

Un gran número de las muestras encontradas por Avast provienen de una campaña particular que es reconocible a través de un cargador .NET único. Ambas muestras de correo electrónico contienen archivos adjuntos .iso y URLs de descarga. Los archivos adjuntos contienen los ejecutables del malware empaquetados con el mencionado .NET Loader.

Cómo evitar BluStealer

Los usuarios de Avast One Essentials, Avast Free Antivirus y todas las versiones de pago están protegidos contra BluStealer. Avast aconseja a los usuarios que desconfíen de los correos electrónicos que afirman incluir facturas de envío o notas de crédito y que no abran los archivos adjuntos en mensajes inesperados o no fiables.

Para mayor información, visite: Avast Decoded Blog.