Skip to main content

WeSteal Malware as a service: il ladro di criptovalute

|

Westeal il nuovo malware as a service – servizio pronto all’uso – e ladro di criptovalute è una nuova minaccia individuata dai ricercatori della Unit 42 di Palo Alto Networks. I ricercatori hanno anche dichiarato che la sede si trovi in Italia e i cyber criminali si nascondo dietro al nome di una società chiamata ComplexCodes. I prodotti vengono venduti su Internet e l’autore sembra non faccia nemmeno un tentativo per nascondere l’intento del malware, affermando che sia “la via principale per fare soldi nel 2021” con un payoff “WeSupply – You profit”.

Le criptovalute sono sotto la mira del cyber crime: non poco tempo fa infatti c’è stata una segnalazione da Microsoft riguardo il malware cryptojacking che si affianca al ransomware, fino a questo momento lo strumento preferito dal cyber crime. Con l’aumento dei prezzi delle criptovalute, molti attaccanti ora preferiscono utilizzare il cryptojacking rispetto al ransomware.

WeSteal però minaccia i wallet di monete digitali come Bitcoin, Ethereum, Litecoin (LTC), Bitcoin Cash (BCH) e Monero (XMR). Nel blog ne viene fatta un’analisi approfondita.

WeSteal Malware: l’analisi approfondita

Il malware è stato prima pubblicizzato su forum clandestini a metà Febbraio 2021, ma già da maggio ComplexCodes ha iniziato a vendere un “WeSupply Crypto Stealer”. WeSteal ne sarebbe così l’evoluzione.

L’intento è ancora una volta mostrato con l’offerta DDoS (Commodity Distributed Denial-of-Service) di ComplexCode basata su Discord, “Site Killah”.

Il malware ha capacità RAT (Remote Access Trojan). Lo stesso programmatore che lo ha ideato sembra abbia creato anche lo “Zodiac Crypto Stealer” e lo “Spartan Crypter” per evitarne il rilevamento tramite antivirus. Inoltre le funzionalità comprendono anche una piattaforma di controllo per tracciare le attività sui dispositivi compromessi. Quinid viene inlcuso un pannello di monitoraggio delle vittime che tene traccia delle infezioni. Per rubare le criptovalute vengono create espressioni regolari che corrispondono agli schemi degli identificatori di portafoglio Bitcoin ed Ethereum e quando viene trovata la corrispondenza viene sostituito l’ID con quello fornito dal malware.

La vittima quindi incolla l’ID del portafoglio sostitutivo per una transazione e i fondi vengono invece inviati al portafoglio sostitutivo.