WeSteal: Ein Cryptocurrency-Stealing-Tool, das genau das tut

Cyber Security News

Die Entwickler des WeSteal Cryptocurrency Stealers halten sich nicht mit Schönreden auf: Sie sagen ganz offen, dass es “der führende Weg ist, um im Jahr 2021 Geld zu verdienen”.

Einige Cyberkriminelle versuchen zumindest, ihre schmutzige Arbeit mit einer fadenscheinigen “Das wird die Klagen abwenden”-Decke der Legitimität zu bedecken. Zum Beispiel Tools zum Aufspüren von Telefonen, die sich unbemerkt installieren und betreiben lassen und angeblich dazu gedacht sind, dass Eltern (legal) auf ihre Kinder aufpassen (in Wirklichkeit handelt es sich um Stalkerware), Ransomware-Banden, die sich damit herausreden, dass sie “helfen”, indem sie Zero-Days entdecken, bevor ihre Opfer es tun, oder die anderen Vertuschungen, die verwendet werden, um Anti-Malware-Umgehungstools, Kryptowährungs-Miner, Passwort-Cracker oder Webcam-Licht-Disablierer zu verhökern.

Aber wer hat schon Zeit, sich mit solchen Täuschungen aufzuhalten?

Nicht WeSteal. Wie der Name allein klar macht, können die Entwickler von WeSteal nicht mit dem Flimflam belästigt werden. Wer auch immer das neue Cryptocurrency-Stealing-Tool verfasst hat, sagt ganz offen, dass es “der führende Weg ist, um im Jahr 2021 Geld zu verdienen”.

Nehmen Sie an Threatposts LIVE-Roundtable-Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” am Mittwoch, den 12. Mai um 14:00 Uhr EDT teil. Dieses KOSTENLOSE Webinar wird von Zoho ManageEngine gesponsert.

“Es gibt keine … Täuschung durch ComplexCodes mit WeSteal. Da ist der Name der Malware selbst. Dann gibt es die Website ‘WeSupply’, die einem Mitverschwörer gehört und auf der stolz verkündet wird: ‘WeSupply – You profit'”, sagt ein Team von Palo Alto Networks über das neue Tool, das im Untergrund vertrieben wird.

In einem Beitrag vom Donnerstag nahmen die Forscher das WeSteal-Tool zum Taschendiebstahl von Kryptowährungen und einen verwandten Remote-Access-Trojaner (RAT) namens WeControl auseinander und sagten, es sei “schamlos”, wie die Entwickler nicht einmal versuchen, die wahre Absicht der Tools zu verbergen.

“WeSteal ist ein schamloses Stück Commodity-Malware mit einer einzigen, illegalen Funktion”, sagen sie. “Seine Einfachheit wird durch eine wahrscheinlich einfache Effektivität beim Diebstahl von Kryptowährung ergänzt. Die wenig anspruchsvollen Akteure, die diese Malware kaufen und einsetzen, sind Diebe, nicht weniger als Taschendiebe auf der Straße. Ihre Verbrechen sind so real wie ihre Opfer.”

WeSteal, Nee WeSupply, Nee Etc. Etc. Etc.

Was ist neu an diesem Kryptowährungs-Ripper-Angebot? Von dem, was Forscher feststellen können, hauptsächlich der Name. Ein Bedrohungsakteur namens ComplexCodes begann Mitte Februar, WeSteal im Untergrund zu bewerben, aber davor verkaufte er im Mai 2020 einen WeSupply Crypto Stealer. Code-Muster deuten darauf hin, dass sich WeSteal aus diesem früheren Tool entwickelt hat.

Der Autor des Tools hat zuvor auch den Zodiac Crypto Stealer sowie eine Malware namens Spartan Crypter entwickelt, die dazu dient, die Antiviren-Erkennung aus der Bahn zu werfen. Außerdem fanden die Analysten von Palo Alto Network Beweise, die ComplexCodes mit einer Website in Verbindung bringen, die gestohlene Konten für Dienste wie Netflix, Disney+, Pornhub, Spotify, Hulu und andere verkauft.

[Blocked Image: https://alltechnews.de/daten/2021/04/WeSteal-Ein-Cryptocurrency-Stealing-Tool-das-genau-das-tut.jpeg]

Der Malware-Entwickler nahm auch kein Blatt vor den Mund, wenn es um ein DDoS-Tool (Distributed Denial-of-Service) ging, das er anbot: Passenderweise trug es den Namen Site Killah: ein Tool, das unschlagbare Preise, schnelle Angriffe und einen fantastischen Support versprach.

Für den Fall, dass es noch Zweifler im Raum gab, werben die Forenbeiträge von WeSupply auch für die Unterstützung von Zero-Day-Exploits und “Antivirus-Bypassing”. WeSteal bietet auch ein “Victim-Tracker-Panel” an, das Infektionen nachverfolgt und “keinen Zweifel über den Zusammenhang lässt”, so die Forscher.

Mit diesen niedrigen, niedrigen Preisen, müssen wir verrückt sein

Für all diese Schlechtigkeit verlangt ComplexCodes nur $24 pro Monat, $60 für drei Monate und $125 für ein Jahr.

Wir müssen uns aber nicht unbedingt Sorgen machen, dass ComplexCodes Miete macht. In einer E-Mail vom Freitag wies Dr. John Michener, Chefwissenschaftler von Casaba Security, darauf hin, dass es laut dem Bericht von Palo Alto Networks überraschend ist, dass die kriminellen Käufer der Malware tatsächlich darauf vertrauen, dass die Malware für sie stiehlt und nicht für die Autoren der Malware selbst.

Im Gegenteil, so Dr. Michener gegenüber Threatpost: Die Malware ist wahrscheinlich darauf ausgelegt, die Taschen ihres Autors heimlich zu füllen. “Es ist ziemlich wahrscheinlich, dass die Malware nach einer angemessenen Testphase damit beginnt, einen beträchtlichen Teil der Opfergelder für die Malware-Autoren zu stehlen und nicht für die Käufer der Malware”, sagte er.

So funktioniert es: WeSteal verwendet eine einfache, aber effektive Methode, um Kryptowährungs-Empfangsadressen zu durchwühlen: Es wühlt sich durch Zwischenablagen und sucht nach Zeichenketten, die mit Bitcoin- und Ethereum-Wallet-Kennungen übereinstimmen. Wenn er sie findet, tauscht WeSteal die legitimen Wallet-IDs in der Zwischenablage mit seinen eigenen IDs aus. Wenn ein Opfer versucht, die ausgetauschte Wallet-ID für eine Transaktion einzufügen, wird das Geld in die Wallet des Angreifers verschoben.

Das Ausspähen von Inhalten der Zwischenablage ist keineswegs neu. Es geht mindestens bis ins Jahr 1999 zurück, als das Trojaner-Programm Sub7 veröffentlicht wurde, das den Inhalt der Zwischenablage überwachen und nach Belieben des Angreifers verändern konnte”, so Randy Pargman, VP of Threat Hunting and Counterintelligence bei Binary Defense. “Es ist für Angreifer so einfach, diesen Trick durchzuziehen, weil es keine speziellen Berechtigungen für Apps braucht, um den Inhalt der Zwischenablage zu lesen und zu verändern – dafür ist die Zwischenablage schließlich gedacht, um Text und Grafiken zwischen Programmen auszutauschen”, erklärte er am Freitag in einer E-Mail an Threatpost.

Im Dezember nahm RubyGems, ein Open-Source-Paket-Repository und -Manager für die Web-Programmiersprache Ruby, zwei Softwarepakete vom Netz, nachdem festgestellt wurde, dass sie mit Malware gespickt waren, die den gleichen Trick anwendete. Davor, im September 2020, sahen wir KryptoCibule: eine Malware, die die Zwischenablage ausspäht und sich über raubkopierte Software und Spiele-Torrents verbreitet. Sogar “legitime” Apps tun dies, wenn auch nicht unbedingt für Kryptowährungs-Mining per se: Zum einen musste TikTok im Juni 2020 die Arbeit niederlegen, nachdem Apples Datenschutzfunktion das Schnüffeln in der Zwischenablage aufgedeckt hatte.

Wie WeSteal seine schmutzige Cryptocurrency-Diebstahlsarbeit macht

In echter Crimeware-as-a-Service-Manier verwendet WeSteal einen gehosteten Command-and-Control (C2)-Service, den es ehrgeizig als RAT-Panel beschreibt. Die Forscher entdeckten jedoch keine verfügbaren RAT-Funktionen (Remote Access Trojan): Sie fanden zum Beispiel keine Funktionen für Keylogging, Exfiltration von Anmeldeinformationen oder Webcam-Hijacking.

Das Tool wird jedoch als Python-basierter Trojaner in einem Skript namens “westeal.py” verteilt.

Kurz nachdem der Bericht der Forscher veröffentlicht wurde, sahen sie, dass auch ein RAT namens WeControl in die Liste der Entwickler aufgenommen wurde. Am Donnerstag planten sie noch, diesen zu analysieren.

Wie Sie Ihre Cryptocurrency-Wallet bewachen

Wenn der Preis steigt und mehr Menschen auf den Zug aufspringen, können wir erwarten, dass die Diebe umso härter arbeiten, um sie zu stehlen, bemerkt Pargman. “Die exorbitanten Preissteigerungen bei vielen Kryptowährungen in diesem Jahr werden wahrscheinlich eine wachsende Zahl von Krypto-Diebstahl-Angriffen und Betrügereien anheizen. Ein weiteres Problem, das zu diesem Problem beitragen könnte, ist die Zunahme von Amateur-Krypto-Investoren, die anfälliger für Malware, bösartige Apps und Social-Engineering-Angriffe sein könnten”, sagte er.

Dr. Michener empfiehlt, dass diejenigen, die Cryptocurrency verwenden, auch eine Hardware-Wallet und ein dediziertes System verwenden sollten, das für nichts anderes verwendet wird. “Vermischen Sie Ihr Banksystem nicht mit Ihrem persönlichen System”, sagt er: Ein Ratschlag, der sowohl für das herkömmliche Online-Banking als auch für Kryptowährungsaktivitäten die beste Praxis ist.

Nehmen Sie an Threatposts Veranstaltung “Fortifying Your Business Against Ransomware, DDoS & Cryptojacking Attacks” teil – ein LIVE-Roundtable-Event am Mi, 12. Mai um 14:00 Uhr EDT. Gesponsert von Zoho ManageEngine, moderiert Threatpost-Moderatorin Becky Bracken eine Expertenrunde, die die besten Abwehrstrategien für diese Bedrohungen des Jahres 2021 diskutiert. Fragen und LIVE-Beteiligung des Publikums sind erwünscht. Nehmen Sie an der lebhaften Diskussion teil und registrieren Sie sich HIER kostenlos.

Einige Teile dieses Artikels stammen aus:
threatpost.com