WeSteal:一种加密货币窃取工具
2021-05-14 11:00:00 Author: www.4hou.com(查看原文) 阅读量:182 收藏

由于在对恶意软件开发者提起诉讼时,检察官通常需要证明开发人员对恶意软件的意图。大部分开发人员都会利用一些毫无意义的服务条款掩盖自己的真实意图,如强调“最终用户不得将恶意软件用于非法目的”。勒索软件团伙通常会描述其恶意软件的潜在“合法”用途,只是同时会进一步描述反恶意软件的规避属性、静默安装和操作或加密货币挖掘、密码盗窃或禁用网络摄像头指示灯等功能。例如,悄悄安装和操作的手机跟踪软件,据称是为了让父母(合法)注意他们孩子的行为和踪迹。

但是谁愿意为这些毫无意义的事情花时间呢?

反正WeSteal肯定不愿意。就像它的名字所清楚表明的那样,WeSteal的开发人员从不掩盖自己的意图,他们大大方方地向我们表明,“想在2021年赚更多的钱,WeSteal是最佳的选择。”

在周四的一篇文章中,研究人员将WeSteal加密货币钱包窃取工具和一个名为WeControl的相关远程访问木马(RAT)分开,WeControl被称为“老鼠/僵尸网络混合体”。研究人员称开发者丝毫没有隐藏窃取工具的真正意图的行为,这是非常“无耻的”。

他们说:“WeSteal是一款功能单一的无耻恶意软件,也正是因为它单一的功能与并不复杂的操作,使得盗窃加密货币变得非常简单。购买和部署此恶意软件的网络犯罪者其实与街头的小偷并无二致,他们的行为十分低端,也同样令人厌恶,其罪行都让不少受害者的财产遭受侵害。”

WeSteal,Nee WeSupply,Nee等

关于这个加密货币窃取工具我们这次还获取了什么新的消息呢?研究人员说,这个名为ComplexCodes的威胁行为者从2021年2月中旬开始在地下论坛上为WeSteal做宣传,但在此之前,他们就于2020年5月开始销售WeSupply Crypto Stealer。将早期WeSupply Crypto Stealer与WeSteal的样本进行比较表明,WeSteal很可能只是同一项目的变体。

该窃取工具的开发者之前还编写了“ Zodiac Crypto Stealer”和“ Spartan Crypter”,他们曾被用来避免反病毒检测。此外,帕洛阿尔托网络(Palo Alto Network)分析师发现,有证据表明,ComplexCodes与一个网站有关,该网站曾销售Netflix、Disney+、Pornhub、Spotify、Hulu等服务。

这位恶意软件开发者也没有对他们提供的分布式拒绝服务(DDoS)工具含糊其辞,它被直截了当地称为Site Killah,一个承诺绝对物美价廉、拥有超快的攻击速度和惊人的支持的工具。

除了将恶意软件称为WeSteal并宣传“Crypto Stealer”功能外,WeSupply在论坛上的帖子还描述了对0 day攻击和“防病毒绕过”的支持。研究人员说,WeSteal还包括一个跟踪“受感染”的受害者跟踪器面板。

面对这么低的成本,任何人都会心动

ComplexCodes通过出售WeSteal获利,但据说该窃取工具每个月只收取20欧元,三个月收取50欧元,一年收取125欧元。

不过,担心ComplexCodes会收取高额的租金那显然是多此一举了。Casaba Security的首席科学家John Michener博士在周五的一封电子邮件中指出,Palo Alto Networks的报告说,令人惊讶的是,恶意软件的购买者竟然相信恶意软件会为他们服务,而不是为恶意软件开发者服务。

事实上与此相反的是,Michener博士对Threatpost表示:该恶意软件很可能最终服务于其开发者。他说:“经过一段时间的试用和测试期后,恶意软件很可能开始将窃取的很大一部分受害者的资金给恶意软件开发人员,而不是恶意软件的购买者。”

它的工作原理是这样的:WeSteal使用一种简单但有效的方式来扫描加密货币接收地址,为了窃取受害者的加密货币,WeSteal使用正则表达式来寻找与被复制到剪贴板的比特币和以太坊钱包标识符模式相匹配的字符串。找到后将用恶意软件提供的钱包ID替换剪贴板上复制的钱包ID。然后受害者粘贴替换的钱包ID进行交易,资金将发送到替换的钱包中,也就是攻击者的钱包中。

无论如何,窥探剪贴板内容并不是什么新鲜事。据Binary Defense威胁搜寻和反情报副总裁兰迪·帕格曼(Randy Pargman)介绍,这至少可以追溯到1999年Sub7木马程序的发布之时,该程序可以监视剪贴板的内容并随时随地、随心所欲地更改它的内容。他在周五的电子邮件中告诉Threatpost,“对于攻击者来说,利用此技巧非常容易,因为它不需要任何特殊权限即可让应用读取和更改剪贴板的内容,毕竟,剪贴板的目的是在程序之间交换文本和图形。”

去年12月,RubyGems,一个用于Ruby Web编程语言的开源软件包存储库和管理器,在发现两个软件包都被恶意软件捆绑后,将两个软件包脱机。在此之前的2020年9月,我们就发现了一款通过替换剪贴板的钱包地址来劫持交易、窃取加密货币相关文件的加密货币窃取恶意软件——KryptoCibule。更有甚者,即使是“合法”的应用程序也可以做到这一点,尽管它本身不一定是用于加密货币挖掘,例如2020年6月,更新iPhone最新应用程序iOS 14测试版的用户发现,他们在使用手机键盘打字时,系统会提示TikTok正在读取来自他们剪贴板上的信息。

WeSteal如何进行肮脏的加密货币窃取工作

WeSteal的广告宣传以“RAT Panel”为主要卖点,但研究人员并未发现任何可用的远程访问木马(RAT)功能,例如他们没有发现键盘记录、凭据泄露或网络摄像机劫持功能。

该工具在名为“westeal.py”的脚本中作为基于Python的木马分发。ComplexCodes使用PyInstaller将其转换为可执行形式。

在研究人员的报告发布后不久,他们发现一个名为WeControl的RAT也被添加到了开发者名册中。截至周四,他们仍在计划对这一问题进行分析。

如何保护您的加密货币钱包

帕格曼指出,随着价格的上涨和越来越多的人加入这股潮流,我们可以预计,盗窃者会更加努力地窃取加密货币。他说,“今年许多加密货币的价格飞涨,可能会推动越来越多的加密窃取攻击和骗局,可能加剧此现象的另一个问题是业余加密货币投资者的增加,他们可能更容易受到恶意软件、恶意应用程序和社会工程攻击。”

Michener博士建议那些使用加密货币的人使用硬件钱包和专用的系统,他说:“不要将您的银行系统与个人系统混在一起,这是经实践检验的保护传统在线银行以及加密货币的最佳做法。”

本文翻译自:https://threatpost.com/westeal-cryptocurrency-stealing-tool/165762/如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/YrN2
如有侵权请联系:admin#unsafe.sh