כבר לא חוששים: האקרים מפרסמים תכנה זדונית בדארקנט

יחידת המחקר של פאלו אלטו נטוורקס בחנה לעומק את הפעילות של אתר WeSupply בדארקנט, בו מתרברבים פושעי סייבר בגלוי בדרך בה התוכנה WeSteal מנצלת פרצות ואף מציעים ״שירות מנוי״ עבור השימוש בה

צילום מסך: מתוך הדו״ח של Unit 42, אתר פאלו אלטו נטוורקס

האקרים הפועלים בדארקנט מנסים למכור שם תוכנות ריגול, כופר ושליטה לכל המרבה במחיר – מה שקרוי בעגה המקצועית commodity malware. אבל הם עדיין חוששים מחקירות של חברות סייבר או גופי אכיפה ולכן מסווים את המטרה האמיתית של התוכנות הללו. איש מהם לא רוצה להיקשר באופן ישיר עם הפצת כלים למתקפות סייבר. אבל ההאקרים שמאחורי תוכנת WeSteal, וכן אתר בשם WeSupply, לא משחקים לפי הכללים האלה. הם מתרברבים בפרסומות עם מראה מקצועי שאומרות באופן גלוי: WeSteal היא הדרך הכי טובה לעשות כסף ב-2021.

סקירה של Unit 42, יחידת המחקר של ענקית הסייבר פאלו אלטו נטוורקס, בחנה לעומק את הפעילות של WeSupply ומפתחי תוכנת התקיפה ComplexCodes, והיא מספקת הצצה לאופן שבו האקרים מפרסמים את המוצרים שלהם ברשת האפלה. המפתחים, ככל הנראה מאיטליה, לא מסתירים את כוונותיהם – להרוויח כסף מהפצת תוכנות תקיפה. שם התוכנה "WeSteal" (אנו גונבים) מופיע ב"פרסומות" שלהם בדארקנט או בשרת דיסקורד, והם אף מתהדרים בסלוגן שיווקי קליט: WeSupply - You Profit (אנחנו מספקים - אתם מרוויחים). 

בפרסומת אחרת, למוצר שמתמקד בגניבת מטבעות קריפטוגרפיים בשם Crypto Stealer, הם מצהירים בגלוי שהתוכנה מנצלת פרצות ללא צורך בפעולה אקטיבית של הקורבן (zero-day) ועוקפת תוכנות אנטי-וירוס. הם גם מפרטים כיצד התוכנה שלהם כוללת יישומים ל"מעקב אחר הקורבן" ולניטור "הדבקות" – במילים האלה ממש, בלי להשאיר שום ספק באשר למטרה של התוכנות שלהם. המודל העסקי של התוקפים הוא שירות מינוי: שימוש בתוכנה עבור 20 אירו לחודש, 50 אירו לשלושה חודשים או 125 אירו לשנה.

על מנת לגנוב מטבעות קריפטוגרפיים מהקורבנות, WeSteal משתמש בביטויים רגילים כדי לחפש מחרוזות של תווים התואמות את הדפוסים של קודי הזיהוי המשמשים ארנקי ביטקוין או את'ריום שמועתקים ללוח הזיכרון (clipboard). כאשר התוכנה מאתרת מחזורות התואמים את הדפוסים של הארנקים הללו, היא מחליפה את הקוד המזהה הלגיטימי בקוד אחר, מזויף, שמספקת התוכנה הזדונית. כשהקורבן מדביק את הקוד המזהה בארנק שלו לצורך ביצוע העסקה, והכספים נשלחים לארנק של התוקף במקום לארנק של הקורבן.

"WeSteal היא תוכנה זדונית חסרת בושה עם פונקציה אחת בלבד שהיא בלתי חוקית בעליל. הפשטות שלה מאפשרת גניבה קלה של מטבעות קריפטוגרפיים, גם אם לא מדובר בסכומים גבוהים בכל פעם. המשתמשים בתוכנה אינם תוקפים מתוחכמים במיוחד אך הם ללא ספק גנבים, לא פחות מכייסים ברחוב הומה. הפשעים שלהם אמיתיים כמו הקורבנות שלהם", כתבו חוקרי Unit 42. "שרשרת הערך המהירה והפשוטה, האנונימיות של גניבת מטבעות קריפטוגרפיים, העלות הנמוכה של ההפעלה והפשטות שלה יהפכו ללא ספק את הסוג הזה של כלי תקיפה לאטרקטיביים ופופולריים לגנבים פחות מיומנים".

אולי יעניין אותך גם

ראש הממשלה נפתלי בנט עם ראש המוסד, דוד ברנע

צילום: חיים צח - לע״מ 

טור אישי | במוסד מייחלים לקצת שקט

למה הריאיון של יוסי כהן עם אילנה דיין עורר כעס? האם תחת ברנע יבצע המוסד פחות "מבצעים נועזים״? וגם: מי צפוי להתמנות בקרוב לראש השב"כ הבא? טור שבועי של עמיר רפפורט