28/03/2024

WeSteal: una herramienta de robo de criptomonedas que hace precisamente eso

El desarrollador del ladrón de criptomonedas WeSteal no puede molestarse con charlas sofisticadas: dicen rotundamente que es «la forma principal de ganar dinero en 2021».

Algunos ciberdelincuentes intentan, al menos, cubrir su trabajo sucio con un manto raído de legitimidad de “esto eliminará las demandas”. Por ejemplo, herramientas de rastreo de teléfonos que se instalan y operan silenciosamente y que supuestamente están destinadas a que los padres tengan cuidado (legalmente) de sus hijos (en realidad, stalkerware ), bandas de ransomware que hablan de racionalizaciones sobre «ayudar» al detectar cero días antes de su las víctimas, o los otros encubrimientos utilizan para pregonar las herramientas anti-malware de evasión, los mineros criptomoneda , crackers de contraseñas o disablers-Webcam luz . 

Pero, ¿quién tiene tiempo que perder con semejante pretensión?

No WeSteal. Como el nombre solo deja en claro, los desarrolladores de WeSteal no se pueden molestar con el flimflam. Quien sea el autor de la nueva herramienta de robo de criptomonedas dice rotundamente que es «la forma principal de ganar dinero en 2021». 

“No hay … pretensión de ComplexCodes con WeSteal. Ahí está el nombre del malware en sí. Luego está el sitio web, ‘WeSupply’, propiedad de un co-conspirador, que dice con orgullo ‘WeSupply: usted se beneficia’ ”, dice un equipo de Palo Alto Networks sobre la nueva herramienta que encontraron que se vendía en el subsuelo. 

En una publicación del jueves, los investigadores seleccionaron la herramienta de robo de carteras de criptomonedas WeSteal y un troyano de acceso remoto relacionado (RAT) llamado WeControl, diciendo que es «descarado» la forma en que los desarrolladores ni siquiera están tratando de ocultar las herramientas. verdadera intención. 

«WeSteal es una pieza descarada de malware básico con una única función ilícita», dicen. “Su simplicidad se corresponde con una probable efectividad simple en el robo de criptomonedas. Los actores de baja sofisticación que compran e implementan este malware son ladrones, no menos que carteristas callejeros. Sus crímenes son tan reales como sus víctimas ”.

WeSteal, Nee WeSupply, Nee Etc. Etc. Etc. 

¿Qué hay de nuevo en esta oferta de extracción de criptomonedas? De lo que los investigadores pueden determinar, principalmente, el nombre. Un actor de amenazas llamado ComplexCodes comenzó a anunciar WeSteal en el subsuelo a mediados de febrero, pero antes de eso, comenzaron a vender un WeSupply Crypto Stealer en mayo de 2020. Las muestras de código apuntan a que WeSteal ha evolucionado a partir de esa herramienta anterior. 

El autor de la herramienta también produjo anteriormente Zodiac Crypto Stealer, así como un malware llamado Spartan Crypter que se usa para desviar la detección de antivirus. Además, los analistas de Palo Alto Network encontraron evidencia que vincula a ComplexCodes con un sitio que vende cuentas robadas para servicios como Netflix, Disney +, Pornhub, Spotify, Hulu y más. 

Este desarrollador de malware tampoco se andaba con rodeos sobre una herramienta distribuida de denegación de servicio (DDoS) que ofrecían: de manera adecuada, se la denominó Site Killah: una herramienta que prometía tener precios imbatibles, ataques rápidos y un soporte increíble. 

En caso de que quedaran algunos escépticos en la sala, las publicaciones del foro de WeSupply también promueven el soporte para exploits de día cero y “Antivirus Bypassing”. WeSteal también proporciona un «panel de seguimiento de víctimas» que rastrea las infecciones, «sin dejar ninguna duda sobre el contexto», dicen los investigadores. 

Con estos precios tan bajos, debemos estar locos

Por toda esa maldad, ComplexCodes cobra solo $ 24 por mes, $ 60 por tres meses y $ 125 por un año. 

Sin embargo, no necesariamente tenemos que preocuparnos de que ComplexCodes genere alquiler. En un correo electrónico el viernes, el Dr. John Michener, científico jefe de Casaba Security, señaló que el informe de Palo Alto Networks dice que es sorprendente que los compradores criminales del malware realmente confíen en que el malware robará por ellos, y no por los autores de el propio malware. 

Por el contrario, el Dr. Michener le dijo a Threatpost: El malware probablemente esté configurado para llenar subrepticiamente los bolsillos de su autor. «Es muy probable que el malware comience a robar una fracción sustancial de los fondos de las víctimas para los autores del malware en lugar de para los compradores de malware después de un período de prueba y prueba razonable», dijo. 

Así es como funciona: WeSteal utiliza una forma simple pero efectiva de deslizar las direcciones de recepción de criptomonedas: hurga en los portapapeles en busca de cadenas que coincidan con los identificadores de billetera de Bitcoin y Ethereum. Cuando los encuentra, WeSteal intercambia las identificaciones legítimas de la billetera en el portapapeles con sus propias identificaciones. Cuando una víctima intenta pegar la identificación de la billetera intercambiada para una transacción, los fondos se transfieren rápidamente a la billetera del atacante.

Espiar el contenido del portapapeles no es nuevo, de ninguna manera. Se remonta al menos hasta 1999 con el lanzamiento del programa troyano Sub7, que podía monitorear el contenido del portapapeles y cambiar su contenido «según el capricho del atacante», según Randy Pargman, vicepresidente de Threat Hunting y Contrainteligencia en Binary. Defensa. “Es muy fácil para los atacantes realizar este truco porque no requiere ningún permiso especial para que las aplicaciones lean y cambien el contenido del portapapeles; después de todo, para eso está diseñado el portapapeles, para intercambiar texto y gráficos entre programas, ”, Le dijo a Threatpost en un correo electrónico el viernes.

En diciembre, RubyGems, un repositorio de paquetes de código abierto y administrador del lenguaje de programación web Ruby, desconectó dos paquetes de software después de que se descubrió que estaban atados con malware que utilizaba el mismo truco. Antes de eso, en septiembre de 2020, vimos KryptoCibule : malware de rastreo de portapapeles que se propaga a través de software pirateado y torrents de juegos. Incluso las aplicaciones «legítimas» lo hacen, aunque no necesariamente para la minería de criptomonedas per se: por un lado, en junio de 2020, TikTok tuvo que despedirse después de que la función de privacidad de Apple expuso cómo estaba fisgoneando en los portapapeles . 

Cómo WeSteal hace su trabajo sucio de robo de criptomonedas

En la verdadera forma del software delictivo como servicio, WeSteal en realidad está utilizando un servicio de comando y control (C2) alojado, que describe ambiciosamente como un Panel RAT. Sin embargo, los investigadores no descubrieron ninguna función de troyano de acceso remoto (RAT) disponible: por ejemplo, no encontraron capacidades de registro de teclas, exfiltración de credenciales o secuestro de cámaras web.  

Sin embargo, la herramienta se distribuye como un troyano basado en Python en un script llamado «westeal.py». 

Poco después de que se publicó el informe de los investigadores, vieron que también se agregó una RAT llamada WeControl a la lista de desarrolladores. A partir del jueves, todavía planeaban analizar eso. 

Cómo proteger su billetera de criptomonedas

A medida que el precio sube y más personas se suben al carro, podemos esperar que los ladrones trabajen mucho más duro para robarlo, señala Pargman . “Es probable que las exorbitantes ganancias de precios en muchas criptomonedas este año alimenten un número cada vez mayor de ataques y estafas de robo de criptomonedas. Otro problema que podría agravar este problema es el aumento de los inversores criptográficos aficionados, que pueden ser más propensos al malware, las aplicaciones maliciosas y los ataques de ingeniería social ”, dijo. 

El Dr. Michener recomienda que aquellos que usan criptomonedas también deben usar una billetera de hardware y un sistema dedicado que no se usa para nada más. “No mezcle su sistema bancario con su sistema personal”, dice: Un consejo que es la mejor práctica para la banca en línea convencional, así como para la actividad de criptomonedas.  

Únase a Threatpost para “Fortalecer su negocio contra ataques de ransomware, DDoS y Cryptojacking ”, un evento de mesa redonda EN VIVO el miércoles 12 de mayo a las 2:00 PM EDT . Patrocinada por Zoho ManageEngine, la presentadora de Threatpost, Becky Bracken, modera un panel de expertos que analiza las mejores estrategias de defensa para estas amenazas de 2021. Se fomenta la participación de la audiencia y preguntas en VIVO. Únase a la animada discusión y regístrese AQUÍ gratis.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.