Se ha descubierto un nuevo malware que consiste en un paquete con registrador de teclas, ladrón de criptomonedas y un cargador de documentos. Llamado BluStealer, fue descubierto por primera vez en mayo y se le conoce como a310logger. BluStealer comprende el código central escrito en VB y las cargas útiles internas escritas en C # […]
Se ha descubierto un nuevo malware que consiste en un paquete con registrador de teclas, ladrón de criptomonedas y un cargador de documentos. Llamado BluStealer, fue descubierto por primera vez en mayo y se le conoce como a310logger.
BluStealer comprende el código central escrito en VB y las cargas útiles internas escritas en C # .NET. Ambos componentes son diferentes en las muestras observadas, lo que indica que su constructor puede personalizar cada componente individualmente.
El núcleo de VB reutiliza la mayor parte del código del proyecto SpyEx (descubierto por primera vez en 2004). Por esta razón, las cadenas de SpyEx se descubren en las primeras muestras detectadas en mayo.
BluStealer puede robar datos de billetera criptográfica, reemplazar direcciones criptográficas en el portapapeles, buscar / cargar archivos de documentos, robar datos a través de SMTP, usar la API de Telegram Bot y usar métodos anti-análisis / VM.
El componente .NET es un ladrón de credenciales creado a partir de una combinación de herramientas de pirateo de C # de código abierto conocidas como ChromeRecovery, ThunderFox, firepwd y StormKitty.
Además, el .NET Loader del malware ya ha sido utilizado por varias familias de malware como Oski Stealer, Snake Keylogger, Formbook, RedLine y Agent Tesla.
BluStealer se propaga principalmente a través de campañas de malspam; Se observó una gran cantidad de muestras en una determinada campaña que utilizó un cargador .NET único.
Los correos electrónicos no deseados incluían enlaces a la Red de entrega de contenido (CDN) de Discord como una infraestructura de distribución de malware.
Los investigadores han observado dos muestras de malspam de BluStealer. Una era una factura falsa de DHL en inglés, mientras que la otra era un mensaje falso en español de una empresa mexicana de metales, General de Perfiles.
Ambas muestras tenían archivos adjuntos .iso, junto con URL de descarga. Los mensajes acompañados afirmaron que los destinatarios deben abrir el enlace y completar los detalles para resolver el problema en la entrega de su paquete.
Los archivos adjuntos incluían los ejecutables de malware empaquetados con .NET Loader. El cargador está ofuscado y no coincide con ningún ofuscador de .NET conocido (cuando se combina con de4dot).