Unit 42 di Palo Alto Networks ha rilevato WeSteal, un nuovo stealer di criptovalute, promosso dal suo autore, come “il modo più efficace per fare soldi nel 2021”
Non rallenta la corsa dei cybercriminali alla realizzazione di nuovi malware, spesso promossi e pubblicizzati come se fossero prodotti legittimi. Ma questo non è sufficiente ad attenuare il carattere truffaldino di queste iniziative, che rimangono pericolose oltre che illecite.
Palo Alto Networks ha analizzato questo nuovo malware partendo dal programmatore italiano che l’ha creato, chiamato, ComplexCodes.
ComplexCodes ha iniziato a pubblicizzare WeSteal sui forum a metà febbraio 2021, ma aveva già venduto “WeSupply Crypto Stealer” a maggio 2020. Confrontando gli esemplari, WeSteal sembrerebbe semplicemente un’evoluzione dello stesso progetto.
Questo programmatore italiano di malware è stato in precedenza autore di “Zodiac Crypto Stealer” e di “Spartan Crypter”, pensato per offuscare il malware ed evitare il rilevamento antivirus; la firma del forum indica un’affiliazione con un sito di vendita di account per servizi come Netflix e Disney+ e l’obiettivo è ancora una volta in mostra con l’offerta di denial-of-service (DDoS) basato su Discord di ComplexCodes, “Site Killah”
Quando si perseguono casi contro autori di malware, generalmente è necessario dimostrare le loro intenzioni pericolose. Molti criminali si nascondono dietro insignificanti “Termini di Servizio” formali, in cui chiedono agli utenti di non usare il malware per scopi illegittimi, descrivendo tra i potenziali usi “legittimi” l’installazione e il funzionamento nascosti o funzionalità come il mining di criptovalute o la disabilitazione delle luci della webcam.
Non c’è nessuna pretesa del genere da parte di ComplexCodes con WeSteal, cui nome già dice tutto. Sul sito web “WeSupply”, di proprietà di un complice, si afferma “WeSupply – You profit”.
Oltre a chiamare il malware WeSteal e a pubblicizzare la funzione “Crypto Stealer”, i post di WeSupply sui forum descrivono anche supporto per exploit zero-day e “Antivirus Bypassing”. WeSteal include inoltre un “Victim tracker panel” che traccia le “infezioni” – senza lasciare troppi dubbi sul contesto di utilizzo.
ComplexCodes guadagna dalla vendita di WeSteal con canoni di abbonamento pari a 20 euro per un mese, 50 euro per tre mesi e 125 euro per un anno, offrendo anche supporto ai clienti nel furto di criptovalute, fornendo un ottimo servizio d’assistenza.
Al fine di “rubare” criptovalute da una vittima, WeSteal utilizza algoritmi per cercare stringhe che corrispondono ai modelli di identificatori di portafogli Bitcoin ed Ethereum copiati negli appunti. Quando trova una corrispondenza, sostituisce l’ID del wallet copiato negli appunti con uno fornito dal malware. Quando la vittimaincolla l’ID sostituito per effettuare una transazione, i fondi vengono inviati al portafoglio sostitutivo.
Quando abbiamo analizzato WeSteal per la prima volta, ci siamo chiesti perché i creatori avessero incluso la capacità di monitorare e rubare solo due criptovalute, Bitcoin ed Ethereum. Nonostante siano sicuramente le più popolari, sarebbe abbastanza semplice codificare i modelli di portafoglio di altre criptovalute. Senza sorpresa, abbiamo poi notiamo l’aggiunta di altre tre criptovalute, Litecoin, Bitcoin Cash e Monero.
WeSteal è un malware molto semplice, che ha una sola funzione illecita. Gli hacker che acquistano e distribuiscono questo malware sono ladri, non meno dei borseggiatori di strada. I loro crimini sono reali come le loro vittime.
La catena di monetizzazione rapida e semplice, il furto anonimo di criptovalute, combinati al basso costo e al facile funzionamento, rendono questo tipo di crimeware attraente e popolare anche per i “ladri” meno esperti.