In tempi recenti una e-mail con oggetto “Bonifici (SWIFT)” ha raggiunto le caselle di posta di diversi utenti italiani con una comunicazione che apparentemente sembra provenire dall’Istituto di Credito Relax Banking e che mostra nel corpo del messaggio l’anteprima miniaturizzata di due file PDF. Le vittime sono quindi spinte a cliccare su tali anteprime con l’intenzione di leggere i documenti ma in realtà vengono indirizzate ad un link per il download di un file ISO dal quale, una volta aperto, partirà l’infezione. 

La catena di infezione porta all’installazione di BluStealer, un malware di tipo infostealer che di recente si sta diffondendo anche in Italia e che, nella variante rilevata ed analizzata dal CERT-AgID, ha lo scopo di esfiltrare: 

• le credenziali da quasi 40 applicazioni (incluse applicazioni VPN, FTP, browser, client di posta); 

le informazioni delle carte di credito salvate nei browser; 

• i messaggi di posta elettronica scaricati; 

• i contatti della rubrica di alcuni client di posta. 

Inoltre, al fine di frodare le vittime per fargli effettuare pagamenti indesiderati, il malware sostituisce gli indirizzi dei portafogli di criptovalute, ogni volta che questi sono copiati, con portafogli propri. Questo fa sì che dalle macchine infette i pagamenti arrivino agli autori della campagna malware e non ai destinatari voluti. Le informazioni carpite vengono inoltrate via e-mail agli autori della campagna. 

Fonte: cert-agid.gov.it