La campagna BlueStealer dagli UAE cambia template. L’allegato della nuova email “Document approval” contiene un exe: il malware. I dati rubati sono esfiltrati sempre verso lo stesso C2 di Telegram API

La campagna BlueStealer proveniente dagli UAE cambia template: l’ultima email, da una “Request for quotation”, diventa “Document approval” e formalmente è inviata da un soggetto diverso.

Allo stesso modo, varia anche il nome dell’allegato, che contiene un exe: il malware. Il metodo per esfiltrare i dati rubati, però, è sempre lo stesso: Telegam API, mediante lo stesso C2.

Bluestealer, alias DarkCloud, è un infostealer che ha lo scopo di esfiltrare le credenziali da quasi 40 applicazioni (incluse applicazioni VPN, FTP, browser, client di posta); le informazioni delle carte di credito salvate nei browser; i messaggi di posta elettronica scaricati e i contatti della rubrica di alcuni client di posta. Inoltre, sostituisce gli indirizzi dei portafogli di criptovalute, ogni volta che questi sono copiati, con portafogli propri. Questo fa sì che dalle macchine infette i pagamenti arrivino agli autori della campagna malware e non ai destinatari voluti.