Campagna Blustealer dalla Lituania simulando la Cina. L’allegato compresso del messaggio “Order_list_30052023” contiene un file exe: il malware. I dati rubati sono esfiltrati via Telegram API

Blustealer si nasconde all’interno di una falsa email dalla Cina, in realtà proveniente dalla Lituania.

L’allegato compresso del messaggio “Order_list_30052023” contiene un file exe: il malware. I dati rubati sono esfiltrati via Telegram API.

Blustealer, alias DarkCloud, è un infostealer che ha lo scopo di esfiltrare le credenziali da quasi 40 applicazioni (incluse applicazioni VPN, FTP, browser, client di posta); le informazioni delle carte di credito salvate nei browser; i messaggi di posta elettronica scaricati e i contatti della rubrica di alcuni client di posta. Inoltre, sostituisce gli indirizzi dei portafogli di criptovalute, ogni volta che questi sono copiati, con portafogli propri. Questo fa sì che dalle macchine infette i pagamenti arrivino agli autori della campagna malware e non ai destinatari voluti.