Bitcoin Forum

Hey alle zusammen! :)

Ich sah gerade den Thread hier: https://bitcointalk.org/index.php?topic=349999.0

Und da viel mir mein Thread ein den ich bereits im Englischen Off-Topic gepostet habe. Darum geht es um eine, wie ich denke, neue Masche des Bitcoin Betrügens.

Da geht es mir um dieses Video was ich fand:
https://www.youtube.com/watch?v=NIpu8uW6oPQ

In diesem Video passiert folgendes:

Ein Tool wird ausgeführt, der Builder.
In diesem Tool hat man die möglichkeit seine FTP-Daten anzugeben an die der Wallet gesendet werden soll.
Zu ende hin erhält man eine ".exe" Datei. In diesem Fall ist es der Trojaner.
Sendet man diesen Trojaner an eine Person wird sein Wallet auf den vorher angegebenen FTP-Server hochgeladen.

Das dies geht habe ich zuerst selber nicht geglaubt. Also lud ich mir den Builder aus der Beschreibung runter und probierte das ganze doch mal an mir selbst aus.
Siehe da - mein Wallet war auf meinem FTP Server. Ich habe ihn dann heruntergeladen und probiert ob ich ihn denn wiederverwenden kann.

Und siehe da. Auch das klappt.

Was haltet ihr davon? Wie kann man gegen sowas vorgehen?

Mfg.

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

Die exe kann ja auf verschiedene Wege verteilt werden? Sie kann getarnt sein usw. Es muss ja nicht umbedingt im Mail Verkehr geschehen?

2011 gabs schon exe's die als Mining-Booster unter die Leute gebracht wurden. Und damals war bitcoin-qt noch nicht verschlüsselt...

Das wichtigste fehlt:

VERSCHLÜSSELT EURE WALLETS

Linux auf USB Stick installieren, Wallet installieren, Wallet verschlüsseln, fertig.

Leute die Windows verwenden und 20 Icons auf dem Desktop haben, von denen sie noch nicht einmal die Hälfte kennen, sollten ohnehin keinen Wallet Client auf ihrem Rechner installieren :P

Finde (Bitcoin-)Malware sollte hier nicht  (positiv) diskutiert und erklärt werden.

Sondern entweder gar nicht besprochen wer und wer unbedingt auf die dunkle Seite will, sollte sich in Malware- und Fraud-Foren begeben.

Das kann man nicht dick genug drucken!

VERSCHUSSELT EURE WALLETS. Click auf alle Flashanimationen, Emailattachements und zufällig auf dem Desktop auftauchende .exe's, lagert eure Altersversorgung in Altcoins und macht die Fenster und Türen auf, plus das Garagentor. Und bitte Fahrzeugschlüssel stecken lassen  ;D

Das wird sich verstärkt als einer der begrenzenden Faktoren für die Akzeptanz und Alltagstauglichkeit der Coins heraustellen. Im Prinzip wäre ja der Sicherheitstand konventionellen Onlinebankings zu erreichen, durch sichere Wallets in einer Bank. Bloß ... ahnst es schon? Muss ich's weiter ausführen?

"Trezor" scheint wichtiger zu werden.

@dewdeded:
Nicht über Erkältungen nachdenken, dann tropft die Nase nicht.
Keine amerikanischen Filme ansehen, dann verschwinden Schusswaffen.
Und das wichtigste: Modemstecker ziehen, schon gibt es keine Infektionen durch Walletstealer mehr!

Und auch nicht vergessen: Es gibt Paperwallets - sogar verschlüsselt.

Ausspionierte Wallets sollen einfach per Filesystem auf FTP hochladen gewerden?

Dann muss der Täter ja seine Zugangsdaten für sein FTP-Server dem Stealer beilegen. Da normales FTP unverschlüsselt abläuft und FTP-Accounts gewöhnlicherweise per User/Pass-Authentifizierung individualisiert sind, sieht das (Netzwerk des) Opfer nicht nur, wohin der Stealer will, sondern kennt auch noch die Zugangsdaten, so das das Opfer die Wallets von sich und anderen Opfern runterladen, verändern und löschen kann, sofern der Hoster keine erweiterte Rechtevergabe unterstützt.

Es gibt noch Hoffnung, das zukünftig dank des ziemlich unausgegoren wirkenden Stealers noch ein paar Fälle von Bitcoinplünderei aufgeklärt werden können, bevor die nächste Generation der Stealer für die breite Masse am Start ist.

Ricke: Die empfangenden FTP-Server sind so konfiguriert, das sie nur Upload erlauben. (Weder Verzeichnislisting ("Sehen") oder Download anderer geuploadeter Wallets ist möglich.)

"Seine" Zugangsdaten muss der Betreiber des Command-and-Controll-Server auch nicht angeben. Denn die Server die empfangen sind entweder gehackt oder es handelt sich um bezahlte 10$ VPS in China, Südafrika, Indien, usw.

Ausserdem bedenke, das Vicitim merkt ja typischerweise von dem Diebstahl gar nichts, kann also nicht auf die angesprochenen FTP-Schwächen (die wie dargestellt keine sind) nicht reagieren.

Ich denke, wer die nötigen Sachkenntnisse und die kriminelle Energie hat, wird wohl kaum, nur um FTP-Accounts korrekt einstellen zu können, extra ein kostenpflichtigen VPS holen oder cracken, und schon gar nicht, weil irgendein fremdes 4Free-Scriptkiddie-Tool, das selbst eine Hintertür eingebaut haben könnte, es so will.

Da skriptet ein halbwegs begabter Bösewicht, der die Mittel hat, sich so etwas besser gleich selbst (oder lässt jemand skripten) und nimmt zur Übertragung HTTP-Post statt FTP und kann somit auch einfache PHP-Freehoster für die temporäre Wallet-Sammelstelle verwenden, anstatt sich mit VPS und der genauen Rechtevergabe von FTP-Accounts herumärgern zu müssen.

Hast du beim Test von dem Ding mal monitoring mitlaufen lassen, was noch so passiert?
Wenn ich einen Wallet-Stealer coden würde, würd ich einbauen, dass jede geklaute Wallet nebenbei auch an mich selber geht.
Dann übernehmen nämlich andere die Verteilung für mich, und ich hab trotzdem die Coins.

Ich hoffe, in der Wallet, mit der du getestet hast, waren keine Keys von Adressen mit Coins...?

Seit 9.12 nichts mehr von ihm zu hören. Ich denke mal das war ein Metzger Tool: darfs etwas mehr sein?

Aber ja, genau so funktioniert Malware. Wieso soll sich ein Täter mühe machen, Hochsicherheitssysteme aufzubauen. Solche Software und die dazu gehörigen Server funktionieren in der regel nur wenige Tage, vieleicht 2-3 Wochen. In der Zeit kommt ein anderer Hacker kaum zwischen mich und meine Beute. Und wenn, scheiss drauf. Hab ich halt statt 1000 nur 950 Euro abgezockt. Dafür statt 10 Std auch nur 2 Std gearbeitet dran.

Die Wallet liegt da ganz sicher nur wenige Sekunden, dann ist sie weiter geleitet. Ein FTP-Server kann auch mittels Script jeden Dateieingang sofort weiterleiten an eine Mailadresse und dann die Datei löschen. Sowas zu coden dauert 5 Minuten. Die Mailadresse frage ich per TOR-Netzwerk ab. Und nun viel spaß beim Suchen.

Je komplizierter man Dinge macht, desdo schwerer wiegt ein Ausfall. Einen billigen FTP-Server mache ich in 30 Minuten(incl Server besorgen und DNS anpassen)

Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?

http://www.walletrecoveryservices.com/

ist doch eigentlich nichts neues...

1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.

Tatsächlich ? Und woher weißt du sowas? Bist du in so einer Szene?

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out. Einfach weil man den Server killen kann und der Angreifer dann seine infizierten Rechner verliert.

Die dinger kommunizieren mittlerweile über  Twitter!!!! (IRC ist  bereits noch länger out)

Natürlich gibt es Schadsoftware die Twitter nutzt, aber sobald das public wird, werden die Macher von twitter Gegenmassnahmen ergreifen. Und bei zentralisierten Diensten geht das dann auch einfach und schnell.

Wenn also die Ermittler nun ihr Augenmerk auf Twitter richten ist es doch nur logisch, dies nicht zu nutzen und dort zu agieren, wo sie nicht hinschauen. Je weniger man gesehen wird, desdo größer die Erfolgschance. Und es ist eine Gesetzmässigkeit, das die Verfolger nicht vor den Verfolgten sein können, sondern immer dahinter. Wenn die Ermittler also Twitter ins Visier nehmen, heist das twitter wurde letztes Jahr benutzt, dieses Jahr nutzt man aber was anderes. Und die Hacker müssen natürlich ihrerseits drauf warten bis sie rausfinden, ob sie schon entdeckt wurden oder nicht. Erst dan weichen sie aus und ab dann wird der Weg auch öffentlich propagandiert.

"Ich habs entdeckt"

Spätestens dann wird auch der letzte Hacker umsteigen. Wenn also die Hilfssheriffs schon drüber reden, benutzt es keiner mehr, lieber candoo.

Was ich nicht verstehe, das es immer wieder Altcoin Client Downloads gibt, bei den keine Hashes veröffentlicht werden...  ???

Ich verstehe es echt nicht.

z.B. bei "MemoryCoin 2.0 (MMC)" hab ich am 16.12. nach Hash Werten vom Client gefragt: https://bitcointalk.org/index.php?topic=370806.msg3990347#msg3990347 Dennoch wurden von den Entwicklern keine MD5/SHA1 o.ä. veröffentlicht.

Bei den folgenden mußte ich auch erstmal nachfragen, veröffentlichen aber nun auch hashes:

* Primecoin: https://bitcointalk.org/index.php?topic=251850.msg3721907#msg3721907
* Infinitecoin: https://bitcointalk.org/index.php?topic=225891.msg3721179#msg3721179
* QuarkCoin: https://bitcointalk.org/index.php?topic=260031.msg3719061#msg3719061
* ProtoShare: https://bitcointalk.org/index.php?topic=325261.msg3706191#msg3706191

Wahrscheinlich gibt es aber noch einige andere, die keine hashes veröffentlichen.

Also wenn ich kriminelle Energieen hätte, würde ich mich bei den neuen Alt-Coins umsehen, die Clients verändern und auf den Rechnern im User-Verzeichnis nach "wallet.dat" suchen und diese versenden... Oder besser noch, die existierenden Clients verändern um Buchungen alles Coins zu veranlassen... Wobei das viel Aufwändiger wäre, aber auch bei Passwortgeschützten wallets funktioniert.

In der Vergangenheit gab es doch schon des öfteren Einbrüche in Webseiten und "Wallet stealer" gab es auch schon...

Also ich verstehe es nicht...

nächstes Beispiel: DogeCoin ->  https://bitcointalk.org/index.php?topic=361813.msg4057952#msg4057952

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out

IRC is out? Was meinst  du wie die botnetze gesteuert werden?
Naja wenn die größten Gegner ( AntiVirus Hersteller) das sagen, dann muss es ja stimmen.
 

Wenn du einen Virus schreiben wolltest, was würdest du wählen?

Je weniger ein Weg überwacht wird oder auch nur überwachbar ist, desdo größer die Chance das du unentdeckt bleibst. Ein Mörder auf einer einsamen Landstrasse zu fnden ist leicht. Finde den aber mal in einem Fussballstation wenn Bayern gegen Dortmund spielt.

Wenn also die gegner nicht mehr so genau hinschauen, dann nutze ich genau das. Die überwachen das dann wieder mehr, dann wechsel ich ebenfalls. Immer unterm dem Radar bleiben, sich aber auch immer ans Radar anpassen