Articles de presse

Le malware BluStealer s’attaque aux cryptomonnaies via des faux mails de DHL

Le laboratoire d’études des menaces Avast a repéré la circulation de spams provenant d’un programme voleur de crypto-monnaies qui tente d’usurper les informations d'identification de milliers de personnes.

Le laboratoire d’études des menaces Avast a repéré la circulation de spams provenant d’un programme voleur de crypto-monnaies qui tente d’usurper les informations d'identification de milliers de personnes.


Prague, République tchèque, 23 septembre 2021 — Avast (LSE:AVST), leader mondial de la sécurité et la confidentialité digitales, alerte au sujet d’une nouvelle campagne de spams à visée malveillante ou malspams, lancée pour diffuser au maximum le programme malveillant BluStealer. Ce dernier a pour mission de dérober des cryptomonnaies – Bitcoin, Ethereum, Monero ou encore Litecoin – directement dans les portefeuilles aussi répandus que ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda et Coinomi. Le 10 septembre, les chercheurs d’Avast Threat Intelligence ont constaté un pic d’activité de ces malspams, circulant via des messages prétendument envoyés par le géant américain de l’expédition DHL et l’entreprise mexicaine de production de métaux General de Perfiles. Avast a ainsi suivi et bloqué près de 12 000 emails malintentionnés qui tentaient de diffuser le programme BluStealer. Les pays les plus impactés par cette campagne sont la Turquie, les Etats-Unis, l’Argentine, le Royaume-Uni, l’Italie, la Grèce, l’Espagne, la République tchèque et la Roumanie.

La campagne en question repose sur l’envoi de mails aux couleurs de l’entreprise afin d’inspirer confiance. Le message informe le destinataire qu’en raison de son indisponibilité immédiate, son colis n’a pas pu être livré. La victime est invitée à remplir un formulaire joint afin de replanifier la livraison dudit colis. Si la personne clique sur la pièce jointe pour l’ouvrir, le programme malveillant BluStealer s’installe automatiquement. Dans l’un des messages aux couleurs de l’entreprise General de Perfiles, la victime apprend qu’elle dispose d’un crédit à la suite d’un règlement excessif, qui sera déduit de sa prochaine commande. Tout comme la campagne DHL, le message contient en pièce jointe le malware BluStealer.

BluStealer est un programme de type keylogger qui enregistre les frappes sur le clavier, sans s’arrêter là : il télécharge des documents sur le système de la victime pour s’emparer de ses cryptomonnaies. Il est capable de voler les clés privées et identifiants directement dans des portefeuilles crypto, allant jusqu’à bloquer l’accès ultérieur de la victime. BluStealer est également en mesure de détecter les adresses copiées dans un presse-papiers et de les remplacer par celles prédéfinies par son auteur pour que les monnaies transférées arrivent directement dans la poche de celui-ci au lieu de celle de leur détenteur légitime. 

« Les cryptomonnaies gagnent en popularité ; la plate-forme d’achat dédiée Crypto.com estime que plus de 100 millions de personnes dans le monde en possèdent. Les transactions de ces monnaies sont par ailleurs plus difficiles à suivre et à annuler, ce qui fait des acquéreurs de cryptomonnaies une proie de choix pour les cybercriminels » alerte Anh Ho, chercheur spécialiste des programmes malveillants chez Avast. « Les campagnes de spams mal intentionnées que nous avons étudiées reposaient sur l’ingénierie sociale, en se servant du nom d’entreprises réputées pour pousser leurs victimes potentielles à cliquer sur la pièce jointe. C’est une vieille ruse associée à un nouveau type de programme malveillant joint. Nous appelons le public à redoubler de prudence avant de cliquer sur un fichier attaché à un mail ».

Mode d’agissement de BluStealer

Les échantillons repérés par Avast proviennent en grande partie d’une campagne spécifique reconnaissable à son programme de chargement .NET Loader unique. Les échantillons contiennent des fichiers en .iso attachés et des liens URL de téléchargement. Les pièces jointes contiennent le malware associé à un module Loader .NET assurant le chargement de cet exécutable.

Comme se prémunir face à BluStealer

Les utilisateurs des produits Avast Antivirus Gratuit et de toutes les versions payantes de produits Avast sont protégés et ne craignent donc rien face à BluStealer. Avast recommande de se méfier des messages contenant en pièce jointe des factures d’expédition ou informant d’un compte créditeur, et de ne jamais ouvrir des fichiers attachés à des courriers indésirables ou d’origine douteuse.

Pour plus de détails, rendez-vous sur le blog Avast Decoded.