האקרים חסרי בושה: מוכרים כלי תקיפה בדארקנט תחת הכינוי "אנחנו גונבים"

Unit 42, יחידת המחקר של ענקית הסייבר פאלו אלטו נטוורקס, בחנה את ההאקרים שמאחורי תוכנת WeSteal, והאתר בשם WeSupply, המתרברבים בפרסומות עם מראה מקצועי שאומרות באופן גלוי: WeSteal היא הדרך הכי טובה לעשות כסף ב-2021

שם התוכנה WeSteal (אנו גונבים) מופיע ב"פרסומות" בדארקנט. צילום: מקור - פאלו אלטו נטוורקס
פאלו אלטו נטוורקס

פאלו אלטו נטוורקס

האקרים הפועלים בדארקנט מנסים למכור שם תוכנות ריגול, כופר ושליטה לכל המרבה במחיר – מה שקרוי בעגה המקצועית commodity malware – אבל הם עדיין חוששים מחקירות של חברות סייבר או גופי אכיפה, ולכן מסווים את המטרה האמיתית של התוכנות הללו. איש מהם לא רוצה להיקשר באופן ישיר עם הפצת כלים למתקפות סייבר.

ההאקרים שמאחורי תוכנת WeSteal, והאתר בשם WeSupply, לא משחקים לפי הכללים האלה. הם מתרברבים בפרסומות עם מראה מקצועי שאומרות באופן גלוי: WeSteal היא הדרך הכי טובה לעשות כסף ב-2021.

סקירה של Unit 42, יחידת המחקר של ענקית הסייבר פאלו אלטו נטוורקס, בחנה לעומק את הפעילות של WeSupply ומפתחי תוכנת התקיפה ComplexCodes, ומספקת הצצה לאופן שבו האקרים מפרסמים את המוצרים שלהם ברשת האפלה.

המפתחים, ככל הנראה מאיטליה, לא מסתירים את כוונותיהם – להרוויח כסף מהפצת תוכנות תקיפה. שם התוכנה WeSteal (אנו גונבים) מופיע ב"פרסומות" שלהם בדארקנט או בשרת דיסקורד, והם אף מתהדרים בסלוגן שיווקי קליט: "אנו מספקים – אתם מרוויחים!" ("WeSupply – You profit").

פרסומים ללא בושה. WeSteal. צילום מסך: פאלו אלטו נטוורקס

פרסומים ללא בושה. WeSteal. צילום: מקור – פאלו אלטו נטוורקס

"WeSteal היא תוכנה זדונית חסרת בושה"

כך למשל, בפרסומת אחרת, למוצר שמתמקד בגניבת מטבעות קריפטוגרפיים בשם Crypto Stealer הם מצהירים בגלוי שהתוכנה מנצלת פרצות ללא צורך בפעולה אקטיבית של הקורבן (zero-day) ועוקפת תוכנות אנטי-וירוס. הם גם מפרטים כיצד התוכנה שלהם כוללת יישומים ל"מעקב אחר הקורבן" ולניטור "הדבקות" – במילים האלו ממש, בלי להשאיר שום ספק באשר למטרה של התוכנות שלהם.

המודל העסקי של התוקפים הוא שירות מינוי – שימוש בתוכנה עבור 20 יורו לחודש, 50 יורו בעבור שלושה חודשים, או 125 יורו לשנה.

על מנת לגנוב מטבעות קריפטוגרפיים מהקורבנות, WeSteal משתמש בביטויים רגילים כדי לחפש מחרוזות של תווים התואמות את הדפוסים של קודי הזיהוי המשמשים ארנקי ביטקוין או את'ריום, שמועתקים ללוח הזיכרון (clipboard).

כאשר התוכנה מאתרת מחרוזות התואמות את הדפוסים של הארנקים הללו, היא מחליפה את הקוד המזהה הלגיטימי בקוד אחר, מזויף, שמספקת התוכנה הזדונית. כשהקורבן מדביק את הקוד המזהה בארנק שלו לצורך ביצוע העסקה, הכספים נשלחים לארנק של התוקף – במקום לארנק של הקורבן.

"WeSteal היא תוכנה זדונית חסרת בושה עם פונקציה אחת בלבד, שהיא בלתי חוקית בעליל. הפשטות שלה מאפשרת גניבה קלה של מטבעות קריפטוגרפיים, גם אם לא מדובר בסכומים גבוהים בכל פעם. המשתמשים בתוכנה אינם תוקפים מתוחכמים במיוחד, אך הם ללא ספק גנבים, לא פחות מכייסים ברחוב הומה. הפשעים שלהם אמיתיים כמו הקורבנות שלהם", כתבו חוקרי Unit 42. "שרשרת הערך המהירה והפשוטה, האנונימיות של גניבת מטבעות קריפטוגרפיים, העלות הנמוכה של ההפעלה, והפשטות שלה, יהפכו ללא ספק את הסוג הזה של כלי תקיפה לאטרקטיביים ופופולריים לגנבים פחות מיומנים".

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

  1. אבי

    "WeSteal משתמש בביטויים רגילים כדי לחפש מחרוזות" רציתם לומר ביטויים רגולריים, או שזו תוכנת תרגום אוטומטית?

אירועים קרובים