Avast, globální lídr v oblasti digitální bezpečnosti a ochrany soukromí, identifikoval škodlivou spamovou kampaň (malspam), která šíří BluStealer, druh malwaru určeného ke krádeži kryptoměn, jako Bitcoin, Ethereum, Monero a Litecoin, z populárních peněženek jako jsou ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda a Coinomi. Výzkumníci z týmu Avast Threat Intelligence objevili 10. září nárůst malspamových kampaní zneužívajících jména přepravní společnosti DHL a mexického zpracovatele kovů General de Perfiles. Avast vystopoval a zablokoval přibližně 12 000 škodlivých e-mailů distribuujících BluStealer. Mezi země nejvíce zasažené šířením malspamové kampaně patří Turecko, Spojené státy, Argentina, Velká Británie, Itálie, Řecko, Španělsko, Česko a Rumunsko.
Malspamová kampaň DHL rozesílá obětem e-maily napodobující vzhled skutečných zpráv od DHL, aby vzbudily falešný pocit bezpečí. E-mail informuje uživatele o tom, že balíček byl z důvodu nedostupnosti příjemce doručen do centrálního skladu. Příjemce je následně vyzván k vyplnění přiloženého formuláře, aby mohl doručení balíku přeložit na jiný termín. Když se ale pokusí přílohu otevřít, spustí se instalace BluStealeru.
V případě General de Perfiles obdrží příjemci e-mailem informaci, že mají přeplatek na fakturách a že jim byl ponechán kredit, který jim bude odečten při dalším nákupu. Stejně jako kampaň DHL obsahuje i zpráva General de Perfiles škodlivou přílohu BluStealer.
BluStealer je keylogger, uploader dokumentů a nástroj na krádež kryptoměn v jednom. Z kryptopeněženek dokáže ukrást data, jako jsou soukromé klíče a přihlašovací údaje, díky čemuž může oběť ztratit přístup k peněžence. BluStealer také detekuje kryptoadresy zkopírované do schránky a nahradí je útočníkovými předdefinovanými, takže kryptoměny jsou převedeny do kapsy kyberzločince namísto legitimního příjemce.
V jedné z peněženek, která podle výzkumníků Avastu patří skupině kyberzločinců používajících BluStealer, je v současnosti přes 2,09 Bitcoinu, což činí v přepočtu více než 1 900 000 Kč. Ještě v pondělí 20. září peněženka přitom obsahovala jen 1.6 Bitcoinu.
"Kryptoměny jsou stále populárnější a podle odhadů burzovní platformy Crypto.com vlastní kryptoměny více než 100 milionů lidí na celém světě. Transakce s kryptoměnami je navíc obtížnější sledovat a rušit. To vše dělá z uživatelů kryptoměn atraktivní cíl pro kyberzločince," říká výzkumník malwaru v Avastu Anh Ho. "Pozorované malspamové kampaně využívají sociální inženýrství a zneužívají kredibilitu velkých společností, aby lidi přiměly k otevření přílohy. Jedná se o starý trik použitý s novým typem hrozby, a proto uživatelům doporučujeme neustálou obezřetnost před tím, než kliknou na jakoukoli přílohu."
Jak BluStealer funguje
Velký počet vzorků, které Avast zachytil, pochází z konkrétní kampaně, která je rozpoznatelná díky unikátnímu zavaděči .NET. Oba vzorky e-mailů obsahují přílohy .iso a adresy URL pro stahování. Přílohy obsahují spustitelné soubory malwaru zabalené se zmíněným zavaděčem .NET.
Jak se BluStealeru vyhnout
Uživatelé programů Avast jsou před BluStealerem chráněni. Avast doporučuje uživatelům, aby si dávali pozor na e-maily, které tvrdí, že obsahují faktury za dopravu nebo dobropisy, a neotevírali přílohy v nevyžádaných nebo nedůvěryhodných zprávách.