WeSteal – Jak działa narzędzie do kradzieży kryptowalut?

Trochę o autorach

Hacker o nazwie ComplexCodes zaczął reklamować WeSteal w podziemiu w połowie lutego, ale wcześniej już zaczął sprzedawać WeSupply Crypto Stealer w maju 2020 r. Analizy kodu wskazują, że WeSteal wyewoluował z tego wcześniejszego narzędzia.

Autor tego narzędzia wypuścił również wcześniej Zodiac Crypto Stealer, a także złośliwe oprogramowanie o nazwie Spartan Crypter, które służyło do usuwania artefaktów i śladów infekcji po wirusach. Ponadto analitycy Palo Alto Network znaleźli dowody łączące ComplexCodes z witryną, która sprzedaje skradzione konta w usługach takich jak Netflix, Disney +, Spotify, Hulu i nie tylko.

Twórca złośliwego oprogramowania nie zlekceważył też słów o oferowanym przez siebie narzędziu do rozproszonej odmowy usługi (DDoS). Dość trafnie nazwano go Site Killah – narzędzie, które obiecywało bezkonkurencyjne ceny, szybkie ataki i niesamowite wsparcie.

Na wypadek, gdyby ktoś miał jeszcze jakieś wątpliwości o złośliwym działaniu, posty na forum WeSupply również promują wsparcie dla exploitów zero-day i metodach typu „AV Bypassing”.

Prostota działania

WeSteal wykorzystuje prosty, ale skuteczny sposób na podmienianie adresów odbiorców kryptowalut – przeszukuje schowki, wyszukując ciągi pasujące do identyfikatorów portfeli Bitcoin i Ethereum. Gdy je znajdzie, WeSteal zamienia prawidłowe identyfikatory portfela w schowku na własne identyfikatory. Kiedy ofiara próbuje wkleić identyfikator portfela do transakcji, środki są przenoszone do portfela atakującego.

Podsłuchiwanie zawartości schowka nie jest niczym nowym. Jego historia sięga co najmniej 1999 roku wraz z wydaniem trojana Sub7, który mógł monitorować zawartość schowka i zmieniać jego zawartość. Atakującym jest łatwo wykonać tę sztuczkę, ponieważ nie wymaga ona żadnych specjalnych uprawnień dla aplikacji do odczytu i zmiany zawartości schowka – w końcu do tego służy schowek, do wymiany tekstu i grafiki między programami.

W prawdziwym stylu crimeware-as-a-service, WeSteal w rzeczywistości korzysta z hostowanej usługi dowodzenia i kontroli (C2), którą ambitnie określa jako panel RAT. Badacze nie odkryli jednak żadnych dostępnych funkcji trojana dostępu zdalnego (RAT): na przykład nie znaleźli funkcji keyloggera, eksfiltracji poświadczeń ani przechwytywania kamery internetowej.

Narzędzie jest jednak rozpowszechniane jako oparty na Pythonie trojan w skrypcie o nazwie „westeal[.]py”.

Wkrótce po opublikowaniu raportu naukowców zauważyli, że do listy deweloperów dodano również RAT o nazwie WeControl.

Podsumowanie

Ogromne wzrosty cen wielu kryptowalut w tym roku prawdopodobnie napędzą stale rosnącą liczbę ataków i oszustw związanych z kradzieżą kryptowalut. Kolejną kwestią, która może zwiększyć ten problem, jest wzrost liczby amatorskich inwestorów kryptowalutowych, którzy mogą być bardziej podatni na złośliwe oprogramowanie, złośliwe aplikacje i ataki socjotechniczne.

Specjaliści z Palo Alto zalecają, aby osoby korzystające z kryptowalut również korzystały z portfela sprzętowego i dedykowanego systemu, który nie jest używany do niczego innego. „Nie mieszaj swojego systemu bankowego z systemem osobistym”, mówi: Porada, która jest najlepszą praktyką w przypadku konwencjonalnej bankowości internetowej, a także działalności związanej z kryptowalutami.