Brasil, São Paulo, 28 de setembro de 2021 - A Avast (LSE: AVST), líder global em segurança e privacidade digital, identificou uma campanha de spam malicioso (malspam) criada para espalhar BluStealer, um tipo de malware projetado para roubar criptomoedas como Bitcoin, Ethereum, Monero e Litecoin de carteiras populares, incluindo ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda e Coinomi. Em 10 de setembro, os pesquisadores de Inteligência do Laboratório de Ameaças da Avast detectaram um pico de atividade em campanha de malspam, abusando dos nomes das empresas de transporte DHL e da produtora de metal mexicana General de Perfiles. A Avast rastreou e bloqueou cerca de 12.000 e-mails maliciosos, distribuindo BluStealer. Os países mais afetados pela disseminação da campanha do malspam incluem Turquia, Estados Unidos, Argentina, Reino Unido, Itália, Grécia, Espanha, República Tcheca e Romênia. Cerca de 311 e-mails maliciosos foram rastreados no Brasil.
A campanha de malspam da DHL envia e-mails às vítimas, imitando o layout de uma mensagem DHL genuína, com a finalidade de atrair o alvo para uma falsa sensação de segurança. O e-mail informa para o usuário, que um pacote foi entregue em seu escritório central devido à indisponibilidade do destinatário. Ao destinatário é, então, solicitado que preencha um formulário anexo para o reagendamento da entrega do pacote. Quando o usuário tenta abrir o anexo, a instalação do BluStealer é acionada. No exemplo da General de Perfiles, os alvos recebem informações por e-mail de que pagaram a mais e que o crédito para eles foi mantido e será cobrado em sua próxima compra. Assim como a campanha da DHL, a mensagem da General de Perfiles inclui o anexo BluStealer malicioso.
BluStealer é um keylogger, uploader de documentos e ladrão de criptomoedas em um único malware. Ele pode roubar os dados da carteira de criptomoedas, como chaves privadas e credenciais, o que pode resultar na perda do acesso da vítima à sua carteira. O BluStealer também detecta endereços de criptomoedas copiados para a área de transferência e os substituiu pelos predefinidos do invasor, para que uma transferência de criptomoedas chegue ao bolso do cibercriminoso, em vez de serem enviadas ao seu legítimo detentor.
Em apenas uma das carteiras de crypto (Crypto Wallets), que os pesquisadores da Avast rastrearam até a cybergang, usando BluStealer, uma quantia de mais de 2,26 Bitcoins foi recebida até agora, o que é cerca de 94.300 dólares no momento. Esta quantia tem crescido desde 20 de setembro último, quando ainda era de apenas 1,6 Bitcoins.
“As criptomoedas estão se tornando cada vez mais populares, com a plataforma de troca de criptos, a Crypto.com, estimando que haja mais de 100 milhões de pessoas no mundo todo possuindo criptomoedas. Além disso, as transações de criptomoedas são mais difíceis de rastrear e desfazer. Tudo isso torna os usuários de criptos um alvo atraente para os cibercriminosos”, destaca Anh Ho, Pesquisador de Malware da Avast. “As campanhas de spam que observamos usaram engenharia social, abusando dos nomes de empresas confiáveis para convencer as pessoas a clicar em um anexo. É um truque antigo, com um novo tipo de ameaça anexada. Pedimos às pessoas que continuem atentas, antes de clicar em qualquer anexo”.
Como funciona o BluStealer
Um grande número de amostras encontradas pela Avast provêm de uma campanha específica, que é reconhecida por meio de um carregador .NET exclusivo. Ambos os exemplos de e-mail contêm anexos .iso e URLs de download. Os anexos contêm os executáveis de malware compactados com o .NET Loader mencionado.
Como evitar o BluStealer
Os usuários do Avast One Essential, Avast Free Antivirus e todas as versões pagas são protegidos contra o BluStealer. A Avast aconselha os usuários a serem cautelosos com os emails, que afirmam incluir faturas de remessa ou notas de crédito, e não abrir os anexos de mensagens inesperadas ou não confiáveis.
Para mais informações, por favor, acesse: Avast Decoded Blog.
