Podvodníci rozesílají obětem e-maily napodobující vzhled skutečných zpráv od DHL.
Avast upozorňuje na spamovou kampaň, která šíří BluStealer, druh malwaru určeného ke krádeži kryptoměn z populárních peněženek, jako jsou ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda a Coinomi. Výzkumníci z týmu Avast Threat Intelligence objevili 10. září nárůst kampaní zneužívajících jména přepravní společnosti DHL a mexického zpracovatele kovů General de Perfiles. Avast vystopoval a zablokoval přibližně 12 000 škodlivých e-mailů distribuujících BluStealer. Mezi země nejvíce zasažené šířením malspamové kampaně patří Turecko, Spojené státy, Argentina, Velká Británie, Itálie, Řecko, Španělsko, Česko a Rumunsko.
Podvodníci rozesílají obětem e-maily napodobující vzhled skutečných zpráv od DHL. E-mail informuje uživatele o tom, že balíček byl z důvodu nedostupnosti příjemce doručen do centrálního skladu. Příjemce je následně vyzván k vyplnění přiloženého formuláře, aby mohl doručení balíku přeložit na jiný termín. Když se ale pokusí přílohu otevřít, spustí se instalace BluStealeru.
V případě General de Perfiles obdrží příjemci e-mailem informaci, že mají přeplatek na fakturách a že jim byl ponechán kredit, který jim bude odečten při dalším nákupu. Stejně jako kampaň DHL obsahuje i zpráva General de Perfiles škodlivou přílohu BluStealer.
BluStealer je keylogger, uploader dokumentů a nástroj na krádež kryptoměn v jednom. Z kryptopeněženek dokáže ukrást data, jako jsou soukromé klíče a přihlašovací údaje, díky čemuž může oběť ztratit přístup k peněžence. BluStealer také detekuje kryptoadresy zkopírované do schránky a nahradí je útočníkovými předdefinovanými, takže kryptoměny jsou převedeny do kapsy kyberzločince namísto legitimního příjemce.
Velký počet vzorků, které Avast zachytil, pochází z konkrétní kampaně, která je rozpoznatelná díky unikátnímu zavaděči .NET. Oba vzorky e-mailů obsahují přílohy .iso a adresy URL pro stahování. Přílohy obsahují spustitelné soubory malwaru zabalené se zmíněným zavaděčem .NET.