Palo Alto Networks deckt Kryptoklauer auf

Laut Palo Alto Networks geben Malware-Autoren, die mit ihren Kreationen in Untergrundforen hausieren gehen, oft vor, dass ihre Produkte nur für Bildungs- oder Forschungszwecke bestimmt sind. Das ist ein lahmer Versuch, sich für den Fall der Fälle rechtlich zu schützen.

Ein Entwickler, der mit einem neuen Commodity Cryptocurrency Stealer die Runde macht, wurde vom Palo Alto Networks Team 42 jedoch als „schamlos“ bezeichnet. In der Tat wird die Malware – mit dem Namen WeSteal – als die „führende Methode, um im Jahr 2021 Geld zu verdienen“ vermarktet.

Die Malware zum Diebstahl von Kryptowährungen, WeSupply Crypto Stealer, wird seit Mai 2020 von einem Entwickler unter dem Namen WeSupply online verkauft, und ein anderer Akteur, ComplexCodes, begann Mitte Februar dieses Jahres mit dem Verkauf von WeSteal.

Eine Untersuchung der Verkäufer, von denen angenommen wird, dass sie Mitverschwörer sind, hat auch mögliche Verbindungen zum Verkauf von Kontozugängen für Streaming-Dienste wie Netflix, Disney+, Doordash und Hulu aufgedeckt.

Das Team glaubt, dass WeSteal eine Weiterentwicklung des Krypto-Stealer-Projekts WeSupply ist. Das Marketing beinhaltet „WeSupply — You profit“ und behauptet, dass WeSteal der „fortschrittlichste Krypto-Stealer der Welt“ ist.

Eine Werbung für die Malware enthält Funktionen wie ein Opfer-Tracker-Panel, einen automatischen Start, die Umgehung von Antiviren-Software und die Behauptung, dass die Malware Zero-Day-Exploits ausnutzt.

„Sie stiehlt alle Bitcoin (BTC) und Ethereum (ETH), die über die Zwischenablage in die Wallet eines Opfers ein- und ausgehen, und verfügt über zahlreiche Funktionen wie das GUI/Panel, das einem RAT [Remote Access Trojaner] gleicht“, heißt es in der Anzeige.

Litecoin, Bitcoin Cash und Monero sind ebenfalls in die Liste der betroffenen Kryptowährungen aufgenommen worden.

Die Analyse der Python-basierten Malware durch die Forscher ergab, dass die Schadsoftware nach Zeichenketten sucht, die sich auf Wallet-Identifikatoren beziehen, die in die Zwischenablage des Opfers kopiert wurden. Wenn diese gefunden werden, werden die Wallet-Adressen durch vom Angreifer kontrollierte Wallets ersetzt, was bedeutet, dass jegliche Transfers von Kryptowährungen in der Tasche des Betreibers landen.

Obwohl die Malware auch mit RAT-Fähigkeiten beschrieben wird, sind die Forscher nicht überzeugt. Sie glauben, dass WeSteal eher eine einfache Command-and-Control (C2)-Kommunikationsstruktur hat, als dass es Funktionen enthält, die normalerweise mit Trojanern assoziiert werden – wie Keylogging, Exfiltration von Anmeldedaten und Webcam-Hijacking.

Die WeSteal-Entwickler bieten C2s als Service an und scheinen auch eine Art Kunden-„Service“ zu betreiben – allerdings scheint die aktuelle Benutzerbasis klein zu sein.

WWeSteal ist ein schamloses Stück Commodity-Malware mit einer einzigen, illegalen Funktion“, so die Forscher. „Seine Einfachheit wird durch eine wahrscheinlich einfache Effektivität beim Diebstahl von Kryptowährung ergänzt. Es ist überraschend, dass Kunden ihre „Opfer“ der potenziellen Kontrolle des Malware-Autors anvertrauen, der sie zweifelsohne im Gegenzug usurpieren könnte, indem er die Bots der Opfer stiehlt oder die Wallets der Kunden ersetzt […] es ist auch überraschend, dass der Malware-Autor eine Strafverfolgung für etwas riskieren würde, das sicherlich eine kleine Menge an Gewinn ist.“

Ein Remote-Access-Trojaner (RAT), WeControl, wurde nach der Veröffentlichung des Berichts ebenfalls in die Liste der Entwickler aufgenommen und wartet auf eine weitere Analyse.