Le malware BluStealer vole la crypto-monnaie et se propage via les e-mails de phishing
Analystes Avast a parlé à propos d'une campagne de spam malveillant diffusant le malware BluStealer qui vole la crypto-monnaie.
Ce voleur d'informations est conçu pour “tirer” Bitcoin, Ethereum, Monero et Litecoin) des portefeuilles populaires – ArmoryDB, Bytecoin, Jaxx Liberté, Exode, Électrum, Atomique, Guarda et Coinomi.
Au total, les experts ont suivi plus de 12,000 e-mails de phishing dans le monde.
A la mi-septembre, la Intelligence des menaces d'Avast l'équipe a enregistré une augmentation des activités malveillantes – e-mails de phishing utilisant les noms de la compagnie maritime DHL et de la société métallurgique mexicaine Profils généraux, et en distribuant le BluStealer les logiciels malveillants.
Un exemple d'e-mail de phishing
Comme règle, dans de tels messages, il est dit qu'un certain colis a été livré au siège social de la société en raison de l'absence du destinataire sur place. Suivant, le destinataire est invité à remplir le document joint afin de transférer la livraison. Lorsque l'utilisateur essaie de l'ouvrir, l'installation de BluStealer démarre.
Dans les campagnes de phishing associées à General de Perfiles, les destinataires reçoivent des e-mails indiquant qu'ils ont payé leurs factures en trop et qu'un crédit leur a été réservé, qui sera inclus dans la facture du prochain achat. Comme dans la campagne imitant DHL, le message General de Perfiles contient BluStealer en pièce jointe.
Les pays les plus touchés par BluStealer sont la Russie, Turquie, Etats-Unis, Argentine, Royaume-Uni, Italie, Grèce, Espagne, La France, Japon, Inde, République Tchèque, Brésil et Roumanie. Alors, Les utilisateurs russes ont reçu 139 de telles lettres.
Un grand nombre d'échantillons de logiciels malveillants étudiés par Avast appartenaient à une campagne spécifique, qui a été identifié par le téléchargeur .NET unique. Par exemple, les messages de spam contenaient des pièces jointes .iso et des URL de téléchargement. Ces pièces jointes contiennent des fichiers malveillants exécutables conditionnés à l'aide du chargeur .NET mentionné.
Permettez-moi de vous rappeler que j'ai également dit que BulletProofLink La cybercriminalité propose le phishing en tant que service.