Krypto-Stealer über gefälschte DHL-Benachrichtigungen

Ping, das Paket ist da? Vorsicht! Threat-Intelligence-Forscher haben einen Krypto-Stealer, Keylogger und Dokument-Uploader aufgespürt, der über gefälschte DHL-Benachrichtigungen verschickt wird.

Der Krypto-Stealer „BluStealer“ wird derzeit massenhaft verteilt. Diese bösartige Malspam-Kampagne hat jetzt ein Threat-Intelligence-Team von Avast identifiziert. Die Malware ist darauf ausgelegt, Kryptowährungen wie Bitcoin oder Ethereum zu stehlen. Auch Monero und Litecoin aus beliebten Wallets wie ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda und Coinomi sind von der Malware betroffen. BluStealer ist dabei gleichzeitig Keylogger, Dokument-Uploader und Kryptowährungsdieb in einer einzigen Malware. Im September entdeckte Avast eine Häufung von Malspam-Kampagnen, welche die Namen des Versandunternehmens DHL und des mexikanischen Metallproduktionsunternehmens General de Perfiles missbrauchten. Dabei hat der IT-Sicherheits- und Datenschutz-Anbieter rund 12.000 bösartige E-Mails aufgespürt und blockiert, die BluStealer verbreiten.

Allein in einer der Kryptowallets, welche die Forscher auf die Cyber-Kriminellen zurückführen, sind inzwischen über 4,0496 Bitcoins eingegangen, was derzeit rund 205.572,95 Euro entspricht. Vor einem Monat lag der Zahlungseingang noch bei 2,26 Bitcoins. Zu den Ländern, die am stärksten von der Verbreitung der Malspam-Kampagne betroffen sind, gehören die Türkei, die Vereinigten Staaten, Argentinien, das Vereinigte Königreich, Italien, Griechenland und Spanien. Aber auch in Deutschland und Frankreich häufen sich die Attacken mit hunderten von E-Mails.

Mit der DHL-Malspam-Kampagne senden Kriminelle an ihre Opfer E-Mails mit DHL-Versandbenachrichtigungen. Diese sehen täuschend echt aus, um so die Adressaten in falscher Sicherheit zu wiegen. Die E-Mails informieren Nutzer darüber, dass ein Paket aufgrund der Abwesenheit des Empfängers an die Zentrale zugestellt wurde. Der Empfänger wird dann aufgefordert, ein angehängtes Formular auszufüllen, um die Zustellung des Pakets zu verschieben. Sollte der Benutzer versuchen, den Anhang zu öffnen, wird die Installation von BluStealer ausgelöst.

BluStealer kann Krypto-Wallet-Daten wie private Schlüssel und Anmeldeinformationen stehlen, was dazu führen kann, dass das Opfer den Zugang zu seiner Wallet verliert. BluStealer erkennt auch Krypto-Adressen, die in die Zwischenablage kopiert werden, und ersetzt diese durch die vordefinierten Adressen des Angreifers, sodass eine Überweisung von Krypto-Münzen in der Tasche des Cyberkriminellen und nicht in der des rechtmäßigen Inhabers landet.

„Kryptowährungen werden immer beliebter. Die Krypto-Börsenplattform Crypto.com schätzt, dass weltweit über 100 Millionen Menschen Kryptowährungen besitzen. Außerdem sind Kryptowährungstransaktionen schwerer zu verfolgen und rückgängig zu machen. All dies macht Krypto-Nutzer zu einem attraktiven Ziel für Cyberkriminelle“, sagt Anh Ho, Malware Researcher bei Avast. „Die Malspam-Kampagnen, die wir aufgespürt haben, nutzten Social Engineering, indem sie die Namen etablierter Unternehmen missbrauchten, um Menschen dazu zu bringen, auf einen Anhang zu klicken. Es handelt sich um einen alten Trick mit einer neuen Art von Bedrohung. Wir bitten die Menschen, weiterhin aufmerksam zu sein, bevor sie auf Anhänge klicken.“

Teaserfoto: © Adobe Stock/Rafael Henrique