Bitcoin Wallet Stealer?

[UNLEASHED]

Hey alle zusammen!

Ich sah gerade den Thread hier: https://bitcointalk.org/index.php?topic=349999.0

Und da viel mir mein Thread ein den ich bereits im Englischen Off-Topic gepostet habe. Darum geht es um eine, wie ich denke, neue Masche des Bitcoin Betrügens.

Da geht es mir um dieses Video was ich fand:
https://www.youtube.com/watch?v=NIpu8uW6oPQ

In diesem Video passiert folgendes:

Ein Tool wird ausgeführt, der Builder.
In diesem Tool hat man die möglichkeit seine FTP-Daten anzugeben an die der Wallet gesendet werden soll.
Zu ende hin erhält man eine ".exe" Datei. In diesem Fall ist es der Trojaner.
Sendet man diesen Trojaner an eine Person wird sein Wallet auf den vorher angegebenen FTP-Server hochgeladen.

Das dies geht habe ich zuerst selber nicht geglaubt. Also lud ich mir den Builder aus der Beschreibung runter und probierte das ganze doch mal an mir selbst aus.
Siehe da - mein Wallet war auf meinem FTP Server. Ich habe ihn dann heruntergeladen und probiert ob ich ihn denn wiederverwenden kann.

Und siehe da. Auch das klappt.

Was haltet ihr davon? Wie kann man gegen sowas vorgehen?

Mfg.

[amigaman]

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

[UNLEASHED]

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

Die exe kann ja auf verschiedene Wege verteilt werden? Sie kann getarnt sein usw. Es muss ja nicht umbedingt im Mail Verkehr geschehen?

[klaus]

2011 gabs schon exe's die als Mining-Booster unter die Leute gebracht wurden. Und damals war bitcoin-qt noch nicht verschlüsselt...

[Freyr]

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

Das wichtigste fehlt:

VERSCHLÜSSELT EURE WALLETS

[Rave]

Linux auf USB Stick installieren, Wallet installieren, Wallet verschlüsseln, fertig.

Leute die Windows verwenden und 20 Icons auf dem Desktop haben, von denen sie noch nicht einmal die Hälfte kennen, sollten ohnehin keinen Wallet Client auf ihrem Rechner installieren

[dewdeded]

Finde (Bitcoin-)Malware sollte hier nicht  (positiv) diskutiert und erklärt werden.

Sondern entweder gar nicht besprochen wer und wer unbedingt auf die dunkle Seite will, sollte sich in Malware- und Fraud-Foren begeben.

[numismatist]

Das wichtigste fehlt:

VERSCHLÜSSELT EURE WALLETS

Das kann man nicht dick genug drucken!

VERSCHUSSELT EURE WALLETS. Click auf alle Flashanimationen, Emailattachements und zufällig auf dem Desktop auftauchende .exe's, lagert eure Altersversorgung in Altcoins und macht die Fenster und Türen auf, plus das Garagentor. Und bitte Fahrzeugschlüssel stecken lassen 

Das wird sich verstärkt als einer der begrenzenden Faktoren für die Akzeptanz und Alltagstauglichkeit der Coins heraustellen. Im Prinzip wäre ja der Sicherheitstand konventionellen Onlinebankings zu erreichen, durch sichere Wallets in einer Bank. Bloß ... ahnst es schon? Muss ich's weiter ausführen?

"Trezor" scheint wichtiger zu werden.

[amigaman]

@dewdeded:
Nicht über Erkältungen nachdenken, dann tropft die Nase nicht.
Keine amerikanischen Filme ansehen, dann verschwinden Schusswaffen.
Und das wichtigste: Modemstecker ziehen, schon gibt es keine Infektionen durch Walletstealer mehr!

[mezzomix]

Und auch nicht vergessen: Es gibt Paperwallets - sogar verschlüsselt.

[Ricke]

Ausspionierte Wallets sollen einfach per Filesystem auf FTP hochladen gewerden?

Dann muss der Täter ja seine Zugangsdaten für sein FTP-Server dem Stealer beilegen. Da normales FTP unverschlüsselt abläuft und FTP-Accounts gewöhnlicherweise per User/Pass-Authentifizierung individualisiert sind, sieht das (Netzwerk des) Opfer nicht nur, wohin der Stealer will, sondern kennt auch noch die Zugangsdaten, so das das Opfer die Wallets von sich und anderen Opfern runterladen, verändern und löschen kann, sofern der Hoster keine erweiterte Rechtevergabe unterstützt.

Es gibt noch Hoffnung, das zukünftig dank des ziemlich unausgegoren wirkenden Stealers noch ein paar Fälle von Bitcoinplünderei aufgeklärt werden können, bevor die nächste Generation der Stealer für die breite Masse am Start ist.

[dewdeded]

Ricke: Die empfangenden FTP-Server sind so konfiguriert, das sie nur Upload erlauben. (Weder Verzeichnislisting ("Sehen") oder Download anderer geuploadeter Wallets ist möglich.)

"Seine" Zugangsdaten muss der Betreiber des Command-and-Controll-Server auch nicht angeben. Denn die Server die empfangen sind entweder gehackt oder es handelt sich um bezahlte 10$ VPS in China, Südafrika, Indien, usw.

Ausserdem bedenke, das Vicitim merkt ja typischerweise von dem Diebstahl gar nichts, kann also nicht auf die angesprochenen FTP-Schwächen (die wie dargestellt keine sind) nicht reagieren.

[Ricke]

Ich denke, wer die nötigen Sachkenntnisse und die kriminelle Energie hat, wird wohl kaum, nur um FTP-Accounts korrekt einstellen zu können, extra ein kostenpflichtigen VPS holen oder cracken, und schon gar nicht, weil irgendein fremdes 4Free-Scriptkiddie-Tool, das selbst eine Hintertür eingebaut haben könnte, es so will.

Da skriptet ein halbwegs begabter Bösewicht, der die Mittel hat, sich so etwas besser gleich selbst (oder lässt jemand skripten) und nimmt zur Übertragung HTTP-Post statt FTP und kann somit auch einfache PHP-Freehoster für die temporäre Wallet-Sammelstelle verwenden, anstatt sich mit VPS und der genauen Rechtevergabe von FTP-Accounts herumärgern zu müssen.

[trasla]

Hast du beim Test von dem Ding mal monitoring mitlaufen lassen, was noch so passiert?
Wenn ich einen Wallet-Stealer coden würde, würd ich einbauen, dass jede geklaute Wallet nebenbei auch an mich selber geht.
Dann übernehmen nämlich andere die Verteilung für mich, und ich hab trotzdem die Coins.

Ich hoffe, in der Wallet, mit der du getestet hast, waren keine Keys von Adressen mit Coins...?

[Chefin]

Seit 9.12 nichts mehr von ihm zu hören. Ich denke mal das war ein Metzger Tool: darfs etwas mehr sein?

Aber ja, genau so funktioniert Malware. Wieso soll sich ein Täter mühe machen, Hochsicherheitssysteme aufzubauen. Solche Software und die dazu gehörigen Server funktionieren in der regel nur wenige Tage, vieleicht 2-3 Wochen. In der Zeit kommt ein anderer Hacker kaum zwischen mich und meine Beute. Und wenn, scheiss drauf. Hab ich halt statt 1000 nur 950 Euro abgezockt. Dafür statt 10 Std auch nur 2 Std gearbeitet dran.

Die Wallet liegt da ganz sicher nur wenige Sekunden, dann ist sie weiter geleitet. Ein FTP-Server kann auch mittels Script jeden Dateieingang sofort weiterleiten an eine Mailadresse und dann die Datei löschen. Sowas zu coden dauert 5 Minuten. Die Mailadresse frage ich per TOR-Netzwerk ab. Und nun viel spaß beim Suchen.

Je komplizierter man Dinge macht, desdo schwerer wiegt ein Ausfall. Einen billigen FTP-Server mache ich in 30 Minuten(incl Server besorgen und DNS anpassen)

[SERI0US]

Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?

[dewdeded]

Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?

http://www.walletrecoveryservices.com/

[3ds]

ist doch eigentlich nichts neues...

[dewdeded]

1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.

[candoo]

1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.

Tatsächlich ? Und woher weißt du sowas? Bist du in so einer Szene?

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out. Einfach weil man den Server killen kann und der Angreifer dann seine infizierten Rechner verliert.

Die dinger kommunizieren mittlerweile über  Twitter!!!! (IRC ist  bereits noch länger out)