Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Malware BluStealer : 12 000 emails frauduleux ont tenté de dérober des cryptomonnaies via des faux mails

septembre 2021 par Avast

Avast alerte au sujet d’une nouvelle campagne de spams malveillante lancée pour diffuser le programme malveillant BluStealer. Ce dernier a pour mission de dérober des cryptomonnaies – Bitcoin, Ethereum, Monero ou encore Litecoin – directement dans les portefeuilles aussi répandus que ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda et Coinomi.

L’AMPLEUR ACTUELLE DU MALWARE

Le 10 septembre, les chercheurs d’Avast Threat Intelligence ont constaté un pic d’activité de ces malspams, circulant via des messages prétendument envoyés par le géant américain de l’expédition DHL et l’entreprise mexicaine de production de métaux General de Perfiles. Avast a ainsi suivi et bloqué près de 12 000 emails malintentionnés qui tentaient de diffuser le programme BluStealer. Les pays les plus impactés par cette campagne sont la Turquie, les Etats-Unis, l’Argentine, le Royaume-Uni, l’Italie, la Grèce, l’Espagne, la République tchèque et la Roumanie. La France compte 250 emails frauduleux recensés. Voici quelques autres statistiques :

· USA : 783

· UK : 608

· Argentine : 720

· Espagne : 574

· République tchèque : 569

· Mexique : 317

· Brésil : 311

· Allemagne : 251

· Russie : 139

· Japon : 128

· Australie : 193

· Inde : 152

SON MECANISME

La campagne en question repose sur l’envoi de mails aux couleurs de l’entreprise afin d’inspirer confiance. Le message informe le destinataire qu’en raison de son indisponibilité immédiate, son colis n’a pas pu être livré. La victime est invitée à remplir un formulaire joint afin de replanifier la livraison dudit colis. Si la personne clique sur la pièce jointe pour l’ouvrir, le programme malveillant BluStealer s’installe automatiquement. Dans l’un des messages aux couleurs de l’entreprise General de Perfiles, la victime apprend qu’elle dispose d’un crédit à la suite d’un règlement excessif, qui sera déduit de sa prochaine commande. Tout comme la campagne DHL, le message contient en pièce jointe le malware BluStealer.

BluStealer est un programme de type keylogger qui enregistre les frappes sur le clavier, sans s’arrêter là : il télécharge des documents sur le système de la victime pour s’emparer de ses cryptomonnaies. Il est capable de voler les clés privées et identifiants directement dans des portefeuilles crypto, allant jusqu’à bloquer l’accès ultérieur de la victime. BluStealer est également en mesure de détecter les adresses copiées dans un presse-papiers et de les remplacer par celles prédéfinies par son auteur pour que les monnaies transférées arrivent directement dans la poche de celui-ci au lieu de celle de leur détenteur légitime.

« Les cryptomonnaies gagnent en popularité ; la plate-forme d’achat dédiée Crypto.com estime que plus de 100 millions de personnes dans le monde en possèdent. Les transactions de ces monnaies sont par ailleurs plus difficiles à suivre et à annuler, ce qui fait des acquéreurs de cryptomonnaies une proie de choix pour les cybercriminels » alerte Anh Ho, chercheur spécialiste des programmes malveillants chez Avast. « Les campagnes de spams mal intentionnées que nous avons étudiées reposaient sur l’ingénierie sociale, en se servant du nom d’entreprises réputées pour pousser leurs victimes potentielles à cliquer sur la pièce jointe. C’est une vieille ruse associée à un nouveau type de programme malveillant. Nous appelons le public à redoubler de prudence avant de cliquer sur un fichier attaché à un mail ».

Les échantillons repérés par Avast proviennent en grande partie d’une campagne spécifique reconnaissable à son programme de chargement .NET Loader unique. Les échantillons contiennent des fichiers en .iso attachés et des liens URL de téléchargement. Les pièces jointes contiennent le malware associé à un module Loader .NET assurant le chargement de cet exécutable.

COMMENT S’EN PREMUNIR

Avast recommande de se méfier des messages contenant en pièce jointe des factures d’expédition ou informant d’un compte créditeur, et de ne jamais ouvrir des fichiers attachés à des courriers indésirables ou d’origine douteuse. Les utilisateurs des produits Avast Antivirus Gratuit et de toutes les versions payantes de produits Avast sont protégés et ne craignent donc rien face à BluStealer.

Pour plus de détails, rendez-vous sur le blog Avast Decoded.


Voir les articles précédents

    

Voir les articles suivants