Avast Threat Labs rastreó un malware ladrón de criptomonedas, keylogger y cargador de documentos que carga herramientas de hackeo para robar las credenciales de miles de usuarios
Ciudad de México, México, 28 de septiembre, 2021 — Avast (LSE:AVST), líder global en seguridad digital y privacidad, ha identificado una campaña de spam malicioso (malspam) creada para propagar BluStealer, un tipo de malware diseñado para robar criptomonedas como Bitcoin, Ethereum, Monero y Litecoin de monederos populares como ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda y Coinomi. El 10 de septiembre, los investigadores de Avast Threat Intelligence descubrieron un pico en la actividad de campañas de malspam, abusando de los nombres de la empresa de envíos DHL y de la empresa mexicana de producción de metales General de Perfiles. Avast ha rastreado y bloqueado alrededor de 12,000 correos electrónicos maliciosos que distribuyen BluStealer. Los países más afectados por la propagación de la campaña de malspam son Turquía, Estados Unidos, Argentina, Reino Unido, Italia, Grecia, España, República Checa, Rumanía y México, . En México se han rastreado alrededor de 317 correos maliciosos.
La campaña de malspam de DHL envía correos electrónicos a las víctimas que imitan el diseño de un mensaje genuino de DHL con el fin de generar en la potencial víctima una falsa sensación de seguridad. El correo electrónico informa al usuario que un paquete ha sido entregado en su oficina central debido a la falta de disponibilidad del destinatario. A continuación, se pide al destinatario que rellene un formulario adjunto para reprogramar la entrega del paquete. Cuando el usuario intenta abrir el archivo adjunto, se activa la instalación de BluStealer. En el ejemplo de General de Perfiles, las personas a las que se dirige la campaña reciben información por correo electrónico de que han pagado facturas en exceso y que se les ha guardado un crédito que se cargará a su próxima compra. Al igual que la campaña de DHL, el mensaje de General de Perfiles incluye el archivo adjunto malicioso BluStealer.
BluStealer es un keylogger, un cargador de documentos y un ladrón de criptomonedas, todo en un solo malware. Puede robar datos de carteras de criptomonedas, como claves privadas y credenciales, lo que puede hacer que la víctima pierda el acceso a su cartera. También se descubrió que BluStealer detecta las direcciones de criptomonedas copiadas en el portapapeles y las sustituye por las predefinidas por el atacante, de modo que la transferencia de criptomonedas llegará al bolsillo del ciberdelincuente en lugar del legítimo titular.
Considerando solamente una de las criptocarteras que los investigadores de Avast han rastreado hasta el cibercriminal que utiliza BluStealer, este ha recibido hasta ahora una cantidad de más de 2,26 Bitcoins, lo que equivale a unos 94,200 USD en este momento. Tan solo la semana pasada la cuenta había recaudado 1,6 Bitcoins, por lo que el dinero robado aumenta drásticamente semana a semana.
«Las criptomonedas son cada vez más populares, y la plataforma de intercambio de criptomonedas Crypto.com estima que hay más de 100 millones de personas en todo el mundo que poseen criptomonedas. Además, las transacciones con criptomonedas son más difíciles de rastrear y deshacer. Todo esto hace que los usuarios de criptomonedas sean un objetivo atractivo para los ciberdelincuentes», comentó Anh Ho, investigador de malware de Avast. «Las campañas de malspam que hemos observado utilizan la ingeniería social, abusando de los nombres de empresas creíbles para convencer a la gente de que haga clic en un archivo adjunto. Es un viejo truco con un nuevo tipo de amenaza adjunta, y pedimos a la gente que siga siendo consciente antes de hacer clic en cualquier archivo adjunto.»
¿Cómo funciona el BluStealer?
Un gran número de las muestras encontradas por Avast provienen de una campaña particular que es reconocible a través de un cargador .NET único. Ambas muestras de correo electrónico contienen archivos adjuntos .iso y URLs de descarga. Los archivos adjuntos contienen los ejecutables del malware empaquetados con el mencionado .NET Loader.
Cómo evitar BluStealer
Los usuarios de Avast One Essentials, Avast Free Antivirus y todas las versiones de pago están protegidos contra BluStealer. Avast aconseja a los usuarios que desconfíen de los correos electrónicos que afirman incluir facturas de envío o notas de crédito y que no abran los archivos adjuntos en mensajes inesperados o no fiables.
Para mayor información, visite: Avast Decoded Blog.
Acerca de Avast
Avast (LSE:AVST), una compañía del FTSE 100, es un líder global en seguridad digital y privacidad, con sede en Praga, República Checa. Con más de 435 millones de usuarios en línea, Avast ofrece productos bajo las marcas Avast y AVG que protegen a las personas de las amenazas en Internet y del cambiante panorama de las amenazas del IoT. La red de detección de amenazas de la compañía está entre las más avanzadas del mundo, utilizando tecnologías de aprendizaje automático e inteligencia artificial para detectar y detener las amenazas en tiempo real. Los productos de seguridad digital de Avast para móviles, PC o Mac están clasificados y certificados por VB100, AV-Comparatives, AV-Test, SE Labs y otros. Avast es miembro de la Coalición contra el Stalkerware, No More Ransom y la Internet Watch Foundation. Visite: www.avast.com.