El robo de criptomonedas BluStealer se propaga a través de una falsa campaña de Malspam de DHL

Avast Threat Labs rastreó un programa de robo de criptomonedas, keylogger y gestor de documentos que carga herramientas de hackeo para robar las credenciales de miles de usuarios

Avast ha identificado una campaña de spam malicioso (malspam), creada para propagar BluStealer, un tipo de malware diseñado para robar criptomonedas como Bitcoin, Ethereum, Monero y Litecoin de carteras populares como ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda y Coinomi. El pasado 10 de septiembre, los investigadores de Avast Threat Intelligence detectaron un pico en la actividad de campañas de malspam que suplantaban el nombre de la empresa de envíos DHL y de la empresa metalúrgica mexicana General de Perfiles. Avast ha rastreado y bloqueado alrededor de 12.000 correos electrónicos maliciosos que distribuyen BluStealer. España ha sido uno de los países más afectados por la campaña con 574 de estos envíos, junto con otros países como Turquía, Estados Unidos, Argentina, Reino Unido, Italia, Grecia, República Checa y Rumanía.

La campaña de malspam de DHL envía correos electrónicos a las víctimas que imitan el diseño de un mensaje real de DHL con el fin de generar en el usuario una falsa sensación de seguridad. El correo electrónico informa al usuario de que un paquete ha sido entregado en su oficina central, debido a la ausencia del destinatario en su domicilio habitual. A continuación, se pide al destinatario que rellene un formulario adjunto para cambiar la fecha de entrega del paquete. Cuando el usuario intenta abrir el archivo adjunto, se activa la instalación de BluStealer. En el caso de General de Perfiles, las personas a las que se dirige la campaña reciben información por correo electrónico de que han pagado de más en unas facturas y de que se les ha retenido un crédito que será cargado a su próxima compra. Al igual que la campaña de DHL, el mensaje de General de Perfiles incluye el archivo malicioso adjunto BluStealer.

BluStealer es un keylogger, que consiste en un cargador de documentos y un programa de robo de criptomonedas, todo ello en un único malware. Puede robar tanto datos de carteras de criptomonedas, como claves privadas y credenciales, lo que puede hacer que la víctima pierda el acceso a su cartera. También se descubrió que BluStealer detecta las direcciones de criptomonedas copiadas en el portapapeles y las sustituye por las predefinidas por el atacante, de modo que la transferencia de criptomonedas llegará al bolsillo del ciberdelincuente en lugar de al del titular legítimo.

«Las criptomonedas son cada vez más populares. La plataforma de intercambio de criptomonedas Crypto.com estima que hay más de 100 millones de personas en todo el mundo que poseen criptomonedas. Además, las transacciones con criptomonedas son más difíciles de rastrear y deshacer. Todo esto hace que los usuarios de criptomonedas sean un objetivo atractivo para los ciberdelincuentes», dijo Anh Ho, investigador de malware de Avast. «Las campañas de malspam que hemos observado utilizan la ingeniería social, aprovechándose de los nombres de empresas fiables para convencer a la gente de que haga clic en un archivo adjunto. Es un viejo truco con un nuevo tipo de amenaza adjunta, y pedimos a la gente que siga siendo consciente antes de hacer clic en cualquier archivo adjunto«.

Cómo funciona BluStealer

Un gran número de las muestras encontradas por Avast provienen de una campaña particular que es reconocible a través de un único .NET Loader. Ambas muestras de correo electrónico contienen archivos adjuntos .iso y URLs de descarga. Los archivos adjuntos contienen los ejecutables del malware junto con el mencionado .NET Loader.

Cómo evitar BluStealer

Los usuarios de Avast One Essentials, Avast Free Antivirus y todas las versiones de pago de Avast están protegidos contra BluStealer. Avast aconseja a los usuarios que desconfíen de los correos electrónicos que dicen incluir facturas de envío o pagarés y que no abran los archivos adjuntos en mensajes inesperados o que no sean de confianza.

ALICIA BURRUECO - cybersecuritynews.es