WeSteal: una herramienta de robo de criptomonedas que hace precisamente eso | Threatpost - Calendae | Informática, Electrónica, CMS, Ciberseguridad

WeSteal: una herramienta de robo de criptomonedas que hace precisamente eso | Threatpost

Hola, un placer verte por aquí. En el teclado Eduardo Arroyo y en el día de hoy vamos a hablar sobre WeSteal: una herramienta de robo de criptomonedas que hace precisamente eso | Threatpost

WeSteal: una herramienta de robo de criptomonedas que hace precisamente eso

El desarrollador de cripto ladrones WeSteal no se deja molestar por las charlas fantasiosas: dicen abiertamente que es «la principal forma de ganar dinero en 2021».

Algunos ciberdelincuentes intentan, al menos, tapar su trabajo sucio con un manto de desgastada legitimidad «esto eliminará las causas». Por ejemplo, herramientas de rastreo telefónico que se instalan y ejecutan silenciosamente y que deberían permitir a los padres prestar atención (legalmente) a sus hijos (en realidad, stalkerware), grupos de ransomware que hablan de racionalizaciones sobre «ayudar» al detectar cero días antes que las víctimas. hacer, o los otros encubrimientos utilizados para promover herramientas de evasión anti-malware, mineros de criptomonedas, descifradores de contraseñas o desactivadores de luz de cámara web.

Pero, ¿quién tiene tiempo que perder con tales afirmaciones?

No WeSteal. Como el nombre solo deja en claro, los desarrolladores de WeSteal no pueden ser molestados por flimflam. Quienquiera que sea el autor de la nueva herramienta de robo de criptomonedas afirma abiertamente que es «la forma principal de ganar dinero en 2021».

Únase a Threatpost para «Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking», un panel de discusión EN VIVO el miércoles 12 de mayo a las 2 pm EDT para este seminario web GRATUITO patrocinado por Zoho ManageEngine.

«No hay … reclamos de ComplexCodes con WeSteal. Está el nombre del malware en sí. Luego está el sitio web,» WeSupply «, propiedad de un co-conspirador, que afirma con orgullo» WeSupply – Usted se beneficia «», un El equipo de Palo Alto Networks dice de la nueva herramienta que encontraron vendida en el metro.

En una publicación del jueves, los investigadores eligieron la herramienta de carterista de billetera de criptomonedas WeSteal y un troyano de acceso remoto relacionado (RAT) llamado WeControl, diciendo que es «descarado» que los desarrolladores ni siquiera estén tratando de ocultar la verdadera intención de las herramientas.

«WeSteal es una pieza descarada de malware con una única función maliciosa», dicen. “Su simplicidad va acompañada de una probable efectividad simple en el robo de criptomonedas. Los actores poco sofisticados que compran y distribuyen este malware son ladrones, nada menos que carteristas callejeros. Sus crímenes son tan reales como sus víctimas «.

¿Qué hay de nuevo en esta oferta de extractor de criptomonedas? De lo que los investigadores pueden determinar, principalmente, el nombre. Un actor de amenazas llamado ComplexCodes comenzó a anunciar WeSteal de forma clandestina a mediados de febrero, pero comenzó a vender un WeSupply Crypto Stealer en mayo de 2020. Los ejemplos de código indican que WeSteal ha evolucionado a partir de esa herramienta anterior.

El autor de la herramienta también ha producido anteriormente Zodiac Crypto Stealer, así como un malware llamado Spartan Crypter que se utiliza para eliminar la detección de antivirus. Además, los analistas de Palo Alto Network encontraron evidencia que vincula a ComplexCodes con un sitio que vende cuentas robadas para servicios como Netflix, Disney +, Pornhub, Spotify, Hulu y otros.

Este desarrollador de malware tampoco se anda con rodeos sobre una herramienta de denegación de servicio distribuida (DDoS) que se ofrece; con bastante razón, se la denominó Site Killah, una herramienta que prometía tener precios imbatibles, ataques rápidos y un soporte increíble.

En caso de que no estuvieran seguros en la sala, las publicaciones del foro de WeSupply también promueven el soporte para exploits de día cero y «Antivirus Bypassing». WeSteal también proporciona un «panel de monitoreo de víctimas» que rastrea las infecciones, «sin dejar dudas sobre el contexto», dicen los investigadores.

A pesar de todo esto, ComplexCodes solo cobra $ 24 por mes, $ 60 por tres meses y $ 125 por un año.

Sin embargo, no necesariamente tenemos que preocuparnos de que ComplexCodes pague el alquiler. En un correo electrónico el viernes, el Dr. John Michener, científico jefe de Casaba Security, señaló que el informe de Palo Alto Networks dijo que era sorprendente que los compradores criminales del malware realmente confíen en que el malware robará por ellos y no por los autores del malware en sí. .

Por el contrario, el Dr. Michener dijo a Threatpost: Es probable que el malware llene sigilosamente los bolsillos de su autor. «Es muy probable que el malware comience a robar una parte sustancial de los fondos de las víctimas para los autores de malware en lugar de para los compradores de malware después de un período de prueba y prueba razonable», dijo.

Así es como funciona: WeSteal utiliza una forma simple pero efectiva de desplazarse por las direcciones de recepción de criptomonedas: hurgue en el portapapeles, buscando cadenas que coincidan con los identificadores de billetera de Bitcoin y Ethereum. Cuando los encuentra, WeSteal intercambia las identificaciones legítimas de la billetera en el portapapeles con sus propias identificaciones. Cuando una víctima intenta pegar la identificación de la billetera intercambiada por una transacción, los fondos se transfieren a la billetera del atacante.

Espiar el contenido del portapapeles no es nada nuevo, de ninguna manera. Se remonta al menos a 1999 con el lanzamiento del programa troyano Sub7, que podía monitorear el contenido del portapapeles y cambiar su contenido «según el capricho del atacante», según Randy Pargman, vicepresidente de Threat Hunting y Contrainteligencia en Binary. Defensa. «Es muy fácil para los atacantes usar este truco porque no requiere ningún permiso especial para que las aplicaciones lean y editen el contenido del portapapeles; después de todo, para eso está el portapapeles, para intercambiar texto y gráficos entre programas», dijo a Threatpost. en un correo electrónico el viernes.

En diciembre, RubyGems, un repositorio de paquetes de código abierto y administrador del lenguaje de programación web Ruby, desconectó dos paquetes de software después de que se descubrió que estaban atados con malware que realizaba el mismo truco. Antes de eso, en septiembre de 2020, vimos KryptoCibule: malware que detecta el portapapeles que se propaga a través de software pirateado y torrents de juegos. Las aplicaciones «legítimas» también lo hacen, aunque no necesariamente para la minería de criptomonedas per se: por ejemplo, en junio de 2020, TikTok tuvo que retirarse después de que la función de privacidad de Apple reveló cómo estaba hurgando en sus notas.

En un verdadero estilo crimeware-as-a-service, WeSteal en realidad usa un servicio de comando y control alojado (C2), que describe ambiciosamente como un panel RAT. Sin embargo, los investigadores no encontraron ninguna funcionalidad de troyano de acceso remoto (RAT) disponible; por ejemplo, no encontraron capacidades de registro de teclas, exfiltración de credenciales o secuestro de cámaras web.

Sin embargo, la herramienta se distribuye como un troyano basado en Python en un script llamado «westeal.py».

Poco después de que se publicó el informe de los investigadores, vieron que una RAT llamada WeControl también se agregó a la lista de desarrolladores. Hasta el jueves, todavía planeaban analizarlo.

A medida que el precio sube y más y más gente se sube al tren, podemos esperar que los ladrones trabajen mucho más duro para robarlo, señala Pargman. «Es probable que los aumentos exorbitantes de precios de muchas criptomonedas este año alimenten un número cada vez mayor de ataques y estafas de robo de criptomonedas. Otro problema que podría sumarse a este problema es el aumento de los inversores criptográficos aficionados, que pueden ser más propensos al malware. , aplicaciones maliciosas y ataques de ingeniería social «, dijo.

El Dr. Michener aconseja a aquellos que usan criptomonedas que también usen una billetera de hardware y un sistema dedicado que no se use para nada más. «No mezcle su sistema bancario con su sistema personal», dice: Asesoramiento que es la mejor práctica para la banca Online convencional y el negocio de las criptomonedas.

.

No te olvides compartir en tus redes sociales para que tus colegas lo disfruten

??? ? ? ???

Comparte