WeSteal : Un malware de vol de cryptomonnaies qui s’assume

Spread the love
WeSteal : Un malware de vol de cryptomonnaies qui s'assume

Alors que certains auteurs de malwares tentent de donner à leurs produits un faux air de légitimité pour se protéger, le développeur de ce logiciel de vol de cryptomonnaies n’essaie même pas.

Selon Palo Alto Networks, les auteurs de logiciels malveillants qui vendent leurs créations sur des forums prétendent souvent que leurs produits sont destinés à des fins éducatives ou de recherche uniquement, une vaine tentative de créer une défense juridique. Cependant, pour ce développeur qui fait sa publicité avec un nouveau voleur de cryptomonnaies, les chercheurs de Palo Alto ont employé le qualificatif de « sans honte ».

En effet, le logiciel malveillant – nommé WeSteal – est présenté comme le « principal moyen de gagner de l’argent en 2021 ».

screenshot-2021-04-30-at-08-53-29.png

Palo Alto Networks.

publicité

« Il vole tous les bitcoin (BTC) et Ethereum (ETH) »

Le malware WeSupply Crypto Stealer est vendu en ligne depuis mai 2020 par un développeur sous le nom de WeSupply, et un autre acteur, ComplexCodes, a commencé à vendre WeSteal à la mi-février de cette année. Une enquête sur les vendeurs a également révélé des liens potentiels avec la vente d’accès à des comptes pour des services de streaming, notamment Netflix, Disney+, Doordash et Hulu.

L’équipe pense que WeSteal est une évolution du projet WeSupply Crypto Stealer. Les créateurs affirment que WeSteal est le « voleur de cryptomonnaie le plus avancé au monde ».

Une publicité pour ce logiciel malveillant présente ses caractéristiques, comme un panneau de suivi des victimes, un démarrage automatique, le contournement des logiciels antivirus et l’affirmation que le logiciel malveillant exploite des vulnérabilités de type “zero-day”. « Il vole tous les bitcoin (BTC) et Ethereum (ETH) qui entrent et sortent du portefeuille d’une victime par le biais du presse-papiers, il dispose également de nombreuses fonctionnalités comme une interface graphique/panneau qui similaire à ceux d’un RAT (Remote Access Trojan) », peut-on lire dans la publicité.

screenshot-2021-04-30-at-09-11-15.png

Palo Alto Networks.

Litecoin, Bitcoin Cash et Monero ont également été ajoutés à la liste des cryptomonnaies visées par ce malware.

L’auteur du malware pourrait à son tour facilement usurper ses clients

L’analyse par le chercheur du malware basé sur Python révèle que le malware recherche les chaînes de caractères liées aux identifiants de portefeuilles copiés dans le presse-papiers d’une victime. Lorsqu’elles sont trouvées, les adresses des portefeuilles sont remplacées par des portefeuilles contrôlés par l’attaquant, ce qui signifie que tout transfert de cryptomonnaies finit dans la poche de l’opérateur.

Bien que les créateurs du malware affirment que celui-ci dispose aussi de capacités de RAT, les chercheurs n’en sont pas convaincus. Ils estiment que WeSteal dispose plutôt d’une simple structure de communication de commande et de contrôle (C2) plutôt que de contenir des fonctionnalités généralement associées aux chevaux de Troie – comme l’enregistrement de frappe au clavier, l’exfiltration d’identifiants et le détournement de webcam. Les développeurs de WeSteal proposent des serveurs de contrôle en tant que service et semblent également gérer une certaine forme de “service” à la clientèle ; toutefois, la base d’utilisateurs actuelle semble être réduite.

« WeSteal est un logiciel malveillant de base qui n’a qu’une seule fonction illicite », expliquent les chercheurs. « Sa simplicité va de pair avec son efficacité pour le vol de cryptomonnaies. Il est surprenant que les clients confient leurs “victimes” au contrôle potentiel de l’auteur du malware, qui pourrait sans doute à son tour les usurper, en volant les “bots” des victimes ou en remplaçant les portefeuilles des clients. Il est également surprenant que l’auteur du malware prenne le risque de poursuites pour ce qui doit sûrement représenter un petit bénéfice. » Un cheval de Troie d’accès à distance (RAT), WeControl, a également été ajouté à l’offre des développeurs après la publication du rapport, et attend une analyse plus approfondie.

Source : ZDNet.com

Leave a Reply