Si chiama WeSteal ed è un malware capace di rubare criptovalute dai wallet di monete digitali come Bitcoin, Ethereum e, soprattutto, Litecoin (LTC), Bitcoin Cash (BCH) e Monero ( XMR).
Gli attori malevoli che stanno distribuendo questo malware sono stati definiti “poco sofisticati” ed equiparati a ladruncoli dai due ricercatori che hanno divulgato la notizia, Robert Falcone e Simon Conant della UNIT42 di Palo Alto Networks.
Il malware è stato ideato da ComplexCodes, un presunto programmatore italiano, ed è stato pubblicizzato in modo esplicito per i suoi intenti criminali e per questo fine indicato come “la via principale per fare soldi nel 2021”.
Fra le sue caratteristiche, WeSteal annovera capacità RAT (Remote Access Trojan), offuscamento e persistenza e conta già alcune varianti pubblicizzate altrettanto apertamente.
Indice degli argomenti
Funzionamento del malware WeSteal
WeSteal è apparso sui forum clandestini fin dallo scorso mese di febbraio 2021, tuttavia è solo da maggio che viene proposto in termini promozionali dal soggetto “WeSupply” per le funzioni di Crypto Stealer.
L’analisi dei sample da parte dei ricercatori della UNIT42 ha suggerito che probabilmente il malware WeSteal e il WeSupply Cryptostealer siano correlati rappresentando l’uno l’evoluzione dell’altro, come parte dello stesso progetto.
Al fine di “rubare” criptovaluta da una vittima, WeSteal utilizza espressioni regolari per cercare stringhe che corrispondono ai modelli di identificatori di portafogli Bitcoin ed Ethereum copiati negli appunti. Quando viene trovata la corrispondenza, viene sostituito l’ID del portafoglio copiato negli appunti con uno fornito dal malware.
La vittima, quindi, incolla l’ID di quello che pensa essere il proprio portafoglio per effettuare una transazione, ma i fondi vengono invece dirottati al portafoglio sostitutivo.
La dotazione aggiuntiva di un “pannello RAT” per WeSteal non sembra implementata propriamente, a detta dei due ricercatori, che piuttosto lo descrivono come “un semplice servizio di comando e controllo (C2) spacciato per “tracker della vittima” e come “pannello RAT” dall’attore malevolo che lo ha creato”.
Altri dettagli emersi dalle analisi indicano che WeSteal opera con un C2 come servizio ospitato (C2aaS) e configurato per utilizzare gli URL per le sue comunicazioni. Si tratta di due diversi domini C2, uno dei quali è anche il sito di vendita del malware:
- hxxps://wesupply[.]to/t_api.php
- hxxps://wesupply[.]io/t_api.php
WeSteal è distribuito come trojan basato su Python in uno script denominato westeal.py. ComplexCodes lo ha convertito in un formato eseguibile utilizzando PyInstaller.
Per realizzare l’offuscamento, è stato utilizzato lo specifico modulo del codice sorgente PyArmor open source, che crittografa il contenuto dello script Python e decrittografa i contenuti prima di inviarli all’interprete Python per l’esecuzione.
Il codice di WeSteal contiene anche righe di codice dedicate alla persistenza che gli permettono di copiarsi in batch in alcune cartelle locali e di avvio del sistema compromesso mantenendo offuscato anche l’avvio dell’eseguibile di WeSteal.
Per la lista completa degli indicatori di compromissione si veda il post Blog dedicato a WeSteal sul sito UNIT42.
Cybercrime as a Service: cos’è, le tipologie più comuni e le regole di prevenzione
La variante RAT di WeSteal
I due ricercatori della UNIT42 precisano che già durante la loro ricerca sono stati trovati sample di WeSteal ulteriormente variate in ottica RAT e per questo identificate con il nome di “WeControl” RAT.
Similmente a WeSteal, WeControl viene compilato in Python, offuscato con PyArmor e include C2 as a service. I ricercatori hanno osservato per la prima volta un campione di WeControl a metà aprile 2021 e al momento della pubblicazione della loro ricerca ne avevano raccolti sette campioni.
Chi è ComplexCodes
Sembra che il programmatore italiano collegato al nome ComplexCodes sia stato anche autore di Zodiac Crypto Stealer e di Spartan Crypter, usati per offuscare il malware ed evitare il rilevamento antivirus.
Dall’analisi dei ricercatori risulterebbe anche che la firma dell’attore malevolo ComplexCodes indichi un’affiliazione con un sito Web che vende account per servizi di diverse piattaforme (Netflix e Disney +, Spotify, POrnHub ecc.).
Correlato a ComplexCodes anche un sito che offre servizi DDoS.
Visitando il sito che pubblicizza il tool, è chiaro il carattere truffaldino, tanto che sembrerebbe superfluo dover ricordare quanto l’uso di questi strumenti sia illecito e comporti pericolose conseguenze. Ma questo non sembra scoraggiare iniziative di vera e propria promozione complete di Claim e Payoff per attirare altri cyber criminali all’uso di WeSteal.
Questo comportamento è quantomeno singolare. Solitamente, infatti, molti autori di programmi malevoli nascondono la natura maligna dei propri codici o dei siti che li pubblicizzano mediante dichiarazioni di “Termini di Servizio” prive di significato secondo cui gli utenti finali non devono utilizzare il malware per scopi illegittimi, oppure descrivendo i potenziali usi “legittimi” del loro malware, solo per commentare ulteriormente le proprietà di evasione anti-malware, l’installazione e il funzionamento silenziosi o le funzionalità come il mining di criptovaluta, il furto di password o la disattivazione delle luci della webcam.
Oltre a chiamare il malware WeSteal e a pubblicizzare la funzione “Crypto Stealer”, i post di WeSupply sui forum descrivono anche un supporto per exploit zero-day e “Antivirus Bypassing”. WeSteal include, inoltre, un “Victim tracker panel” che traccia le “infezioni”, senza lasciare dubbi sul contesto di utilizzo.
ComplexCodes guadagna dalla vendita di WeSteal con canoni di abbonamento pari a 20 euro per un mese, 50 euro per tre mesi e 125 euro per un anno, offrendo anche supporto di assistenza ai clienti nel furto di criptovalute e per eventuali domande di tipo “how-to”. Infatti, il “servizio clienti” per i criminali che volessero acquisire questi tool è curato come se si trattasse di oggetti leciti, fornendo anche una assistenza on line (in stile CRM) a cui rivolgere domande e ottenere un supporto.
Le furbizie del Cybercrime-as-a-service
I ricercatori fanno notare anche come le caratteristiche di monetizzazione rapida e semplice e l’anonimato del furto di criptovaluta, insieme al basso costo e alla semplicità di funzionamento, rendano questo tipo di crimine attraente e popolare tra i criminali digitali meno esperti.
Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore del sito Hackmageddon, fa notare come il cybercrime-as-a-service sia un’economia fiorente e WeSteal costituisca l’ennesima conferma di questa tendenza.
Da un lato i fornitori del servizio criminale trovano un modo di monetizzare rapidamente le proprie competenze, potendo contare su guadagni certi, e senza doversi preoccupare di come distribuire il vettore di attacco, dall’altro i loro clienti, anche se non dotati di particolari competenze tecniche, possono concentrare i propri sforzi sulla fase di esecuzione.
Un ulteriore aspetto interessante è la costante ricerca, da parte degli attori malevoli, di nuovi modi per generare proventi illeciti dai trend del momento: paradossalmente le criptovalute hanno tratto beneficio dalla volatilità dei mercati in seguito alla pandemia, e WeSteal dimostra come i criminali informatici ne abbiano subito tratto profitto.
