BluStealer-malware

BluStealer-malware Beschrijving

Malware voor het verzamelen van informatie is de afgelopen jaren enorm populair geworden. Een van de belangrijkste redenen hiervoor is de opkomst van cryptocurrency. Tegenwoordig gaan deze verzamelaars achter cryptocurrency-portefeuilles aan, bovenop de gebruikelijke wachtwoorden, bestanden en cookies die ze proberen te verkrijgen. Een van de nieuwste projecten die tot de categorie van informatiediefstallen behoort, is de BluStealer Malware. Hoewel het sinds begin september actief is, lijkt het erop dat de activiteit toeneemt - medio september werden meer dan 6.000 actieve exemplaren geïdentificeerd. Onnodig te zeggen dat de criminelen die deze malware gebruiken, er alles aan doen om zoveel mogelijk gebruikers te infecteren.

Hoe wordt de BluStealer-malware verspreid?

Als de exploitanten van deze malware net als andere cybercriminelen zijn, vertrouwen ze waarschijnlijk op enkele van de meest populaire kanalen voor het verspreiden van malware:

  • Valse downloads, meestal gepromoot via misleidende advertenties.
  • Torrent-trackers die gamecracks hosten, software-activators en andere illegale inhoud.
  • Social media spam via valse profielen en pagina's.
  • E-mailspam met schadelijke bijlagen of links.

De spam-e-mailcampagne die de BluStealer-malware promoot, lijkt te berusten op frauduleuze bezorgingsmeldingen. Gebruikers ontvangen een bericht van een valse e-mail die beweert een vertegenwoordiger te zijn van DHL, USPS, FedEx of een andere populaire bezorgservice. De gebruiker krijgt te horen dat er een betaling/levering in behandeling is en dat ze de bijlage moeten bekijken voor details. Het bijgevoegde bestand voert echter een script uit dat de binaire bestanden van de BluStealer Malware implementeert.

Hoe werkt de BluStealer-malware?

Eenmaal actief, zal het proberen zijn aanwezigheid te verbergen en op de achtergrond te werken. Uiteraard is het doel van de malware om zoveel mogelijk informatie te extraheren voordat deze zichzelf verwijdert. De gegevens waarnaar het gaat, omvatten:

  • Gegevens automatisch aanvullen van populaire webbrowsers.
  • Cookies opgeslagen door Google Chrome en Mozilla Firefox.
  • Cryptocurrency portemonnee-software zoals Electrum, Jaxx, Bytecoin en anderen.
  • Het scant de harde schijf op specifieke bestandsindelingen en comprimeert deze naar het bestand Files.zip. Het gaat achter DOC, DOCX, XLSX, RTF, PDF en andere documenten aan.
  • De criminelen kunnen ook klembordgegevens verkrijgen of screenshots maken.
  • De BluStealer Malware lijkt ook een keylogger-module te bevatten.

Zodra de gegevens zijn verzameld, gaat de BluStealer Malware verder met het overdragen aan de aanvallers. Om dit te doen, gebruikt het ofwel een STMP-overdracht die lijkt te zijn gekopieerd van SpyEx, een spyware-toolkit. Het implantaat beschikt ook over een alternatieve methode voor gegevensoverdracht: een Telegram-bot. De reikwijdte van het bereik van BluStealer Malware is nog niet duidelijk, dus we raden alle gebruikers aan om voorzorgsmaatregelen te nemen om hun gegevens veilig te houden. Het gebruik van up-to-date antivirussoftware en het toepassen van de nieuwste Windows-patches is de beste manier om beschermd te blijven.