I ricercatori della Unit 42 di Palo Alto Networks hanno individuato un nuovo ladro di criptovalute chiamato WeSteal e la relativa campagna malevola che si ispira alla filosofia “malware as a service”. Il suo autore non maschera il suo scopo e promette “la via principale per fare soldi nel 2021”.
WeSteal è un malware basato su Python che consente di agire come RAT (Remote Access Trojan) e che utilizza espressioni regolari per cercare stringhe relative agli indirizzi del portafoglio che le vittime hanno copiato negli appunti.
Le funzionalità di WeSteal includerebbero un sistema di offuscamento per aggirare i controlli degli antivirus e una piattaforma di controllo per tracciare le attività sui dispositivi compromessi.
I “prodotti” vengono venduti su Internet da una sorta di “società” chiamata ComplexCodes. Il prodotto di punta di ComplexCodes è appunto WeSteal.
L’intera operazione è resa piuttosto bizzarra dalla sfacciataggine con cui gli attori dietro il malware si muovono per promuovere i loro prodotti. L’intero “catalogo” è infatti accessibile attraverso un sito sul World Wide Web: wesupply.to.
Secondo i ricercatori gli autori di questi strumenti sarebbero italiani e in passato avrebbero distribuito un malware simile per funzionalità (Zodiac Crypto Stealer) e un tool per offuscare il codice malevolo dei malware chiamato Spartan Crypter.
Per la vendita, ComplexCodes si appoggia a uno store specializzato nel commercio elettronico e, dall’analisi di Palo Alto Networks, emerge un collegamento con un sito specializzato nella commercializzazione di account rubati di servizi di streaming, come Netflix, Pornhub e Disney+.
I malware vengono offerti nella versione “as a service”, tramite abbonamenti con prezzi che vanno dai 20 euro per un mese ai 125 euro per un anno.
WeSteal non risulta particolarmente complesso: una volta che il proprietario di un computer infetto esegue la copia negli appunti di un link con una sintassi riconducibile a quella di un wallet, il malware modifica il contenuto inserendo quello del criminale informatico che controlla il malware.
Il risultato è il conseguente trasferimento di Bitcoin, Ethereum, Litecoin, Bitcoin Cash e Monero che vengono dirottati sul conto del cyber criminale.
https://www.securityinfo.it/2021/05/03/westeal-ecco-il-malware-as-a-service-made-in-italy/
