avril 30, 2021

WeSteal: un voleur de crypto-monnaie “ sans vergogne ” vendu dans le métro

Par andy1712


Alors que certains auteurs de logiciels malveillants essaieront de créer un air de légitimité autour de leurs produits pour se couvrir d’éventuelles affaires criminelles à l’avenir, un développeur d’un voleur de crypto-monnaie n’essaye même pas.

Selon Palo Alto Networks, les auteurs de logiciels malveillants colportant leurs créations dans des forums clandestins prétendront souvent que leurs produits sont à des fins éducatives ou de recherche uniquement – une tentative molle de créer une défense juridique, au cas où.

Cependant, un développeur fait le tour avec un nouveau voleur de crypto-monnaie de base A été décrit comme “sans vergogne” par l’équipe.

En effet, le logiciel malveillant – nommé WeSteal – est commercialisé comme le «principal moyen de gagner de l’argent en 2021».

capture d'écran-2021-04-30-at-08-53-29.png

Réseaux Palo Alto

Le malware de vol de crypto-monnaie, WeSupply Crypto Stealer, est vendu en ligne depuis mai 2020 par un développeur sous le nom de WeSupply, et un autre acteur, ComplexCodes, a commencé à vendre WeSteal à la mi-février de cette année.

Une enquête sur les vendeurs, considérés comme des co-conspirateurs, a également révélé des liens potentiels avec la vente d’accès au compte pour les services de streaming, notamment Netflix, Disney +, Doordash et Hulu.

L’équipe estime que WeSteal est une évolution du projet WeSupply Crypto Stealer. Le marketing comprend «WeSupply – Vous profitez» et affirme que WeSteal est «le voleur de crypto-monnaie le plus avancé au monde».

Une publicité pour le logiciel malveillant comprend des fonctionnalités telles qu’un panneau de suivi des victimes, le démarrage automatique, le contournement du logiciel antivirus et l’affirmation selon laquelle le logiciel malveillant exploite les exploits zero-day.

“Il vole tous les Bitcoin (BTC) et Ethereum (ETH) entrant et sortant du portefeuille d’une victime via le presse-papiers, il possède également de nombreuses fonctionnalités telles que l’interface graphique / panneau qui ressemble à un RAT [Remote Access Trojan]», lit-on dans l’annonce.

capture d'écran-2021-04-30-at-09-11-15.png

Réseaux Palo Alto

Litecoin, Bitcoin Cash et Monero ont également été ajoutés à la liste des crypto-monnaies.

L’analyse du chercheur du malware basé sur Python a révélé que le malware recherche les chaînes liées aux identifiants de portefeuille copiés dans le presse-papiers d’une victime. Lorsque celles-ci sont trouvées, les adresses du portefeuille sont remplacées par des portefeuilles contrôlés par l’attaquant, ce qui signifie que tout transfert de crypto-monnaies se retrouve dans la poche de l’opérateur.

Bien que le malware soit également décrit comme ayant des capacités RAT, les chercheurs ne sont pas convaincus, estimant que WeSteal a quelque chose de plus proche d’une simple structure de communication de commande et de contrôle (C2) plutôt que de contenir des fonctionnalités généralement associées aux chevaux de Troie – telles que l’enregistrement de frappe, l’exfiltration d’informations d’identification et le détournement de webcam.

Les développeurs de WeSteal proposent des C2 en tant que service et semblent également exécuter une forme de “ service ” client – cependant, la base d’utilisateurs actuelle semble petite.

“WeSteal est un logiciel malveillant de base sans vergogne avec une seule fonction illicite”, affirment les chercheurs. “Sa simplicité va de pair avec une efficacité simple probable dans le vol de crypto-monnaie. Il est surprenant que les clients confient à leurs” victimes “le contrôle potentiel de l’auteur du malware, qui pourrait sans doute, à son tour, les usurper, voler la victime” bots “ou remplacer les portefeuilles des clients [..] il est également surprenant que l’auteur du logiciel malveillant risquerait des poursuites pénales pour ce qui doit sûrement être un petit profit. ”

Un cheval de Troie d’accès à distance (RAT), WeControl, a également été ajouté à la liste des développeurs après la publication du rapport et attend une analyse plus approfondie.

Couverture antérieure et connexe


Vous avez un conseil? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713025499, ou plus à Keybase: charlie0