Pages:
Author

Topic: Bitcoin Wallet Stealer? (Read 5287 times)

legendary
Activity: 1882
Merit: 1108
January 16, 2014, 01:17:51 PM
#27
Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out

Wenn du einen Virus schreiben wolltest, was würdest du wählen?

Je weniger ein Weg überwacht wird oder auch nur überwachbar ist, desdo größer die Chance das du unentdeckt bleibst. Ein Mörder auf einer einsamen Landstrasse zu fnden ist leicht. Finde den aber mal in einem Fussballstation wenn Bayern gegen Dortmund spielt.

Wenn also die gegner nicht mehr so genau hinschauen, dann nutze ich genau das. Die überwachen das dann wieder mehr, dann wechsel ich ebenfalls. Immer unterm dem Radar bleiben, sich aber auch immer ans Radar anpassen
sr. member
Activity: 729
Merit: 251
January 16, 2014, 03:34:04 AM
#26
IRC is out? Was meinst  du wie die botnetze gesteuert werden?
Naja wenn die größten Gegner ( AntiVirus Hersteller) das sagen, dann muss es ja stimmen.
 
newbie
Activity: 31
Merit: 0
January 11, 2014, 05:28:58 AM
#25
Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out
3ds
full member
Activity: 238
Merit: 100
December 20, 2013, 08:28:52 AM
#24
nächstes Beispiel: DogeCoin ->  https://bitcointalksearch.org/topic/m.4057952
3ds
full member
Activity: 238
Merit: 100
December 20, 2013, 03:05:17 AM
#23
Ich verstehe es echt nicht.

z.B. bei "MemoryCoin 2.0 (MMC)" hab ich am 16.12. nach Hash Werten vom Client gefragt: https://bitcointalksearch.org/topic/m.3990347 Dennoch wurden von den Entwicklern keine MD5/SHA1 o.ä. veröffentlicht.

Bei den folgenden mußte ich auch erstmal nachfragen, veröffentlichen aber nun auch hashes:

* Primecoin: https://bitcointalksearch.org/topic/m.3721907
* Infinitecoin: https://bitcointalksearch.org/topic/m.3721179
* QuarkCoin: https://bitcointalksearch.org/topic/m.3719061
* ProtoShare: https://bitcointalksearch.org/topic/m.3706191

Wahrscheinlich gibt es aber noch einige andere, die keine hashes veröffentlichen.

Also wenn ich kriminelle Energieen hätte, würde ich mich bei den neuen Alt-Coins umsehen, die Clients verändern und auf den Rechnern im User-Verzeichnis nach "wallet.dat" suchen und diese versenden... Oder besser noch, die existierenden Clients verändern um Buchungen alles Coins zu veranlassen... Wobei das viel Aufwändiger wäre, aber auch bei Passwortgeschützten wallets funktioniert.

In der Vergangenheit gab es doch schon des öfteren Einbrüche in Webseiten und "Wallet stealer" gab es auch schon...

Also ich verstehe es nicht...

3ds
full member
Activity: 238
Merit: 100
December 19, 2013, 06:17:46 AM
#22
Was ich nicht verstehe, das es immer wieder Altcoin Client Downloads gibt, bei den keine Hashes veröffentlicht werden...  Huh
legendary
Activity: 1882
Merit: 1108
December 15, 2013, 04:18:10 AM
#21
Natürlich gibt es Schadsoftware die Twitter nutzt, aber sobald das public wird, werden die Macher von twitter Gegenmassnahmen ergreifen. Und bei zentralisierten Diensten geht das dann auch einfach und schnell.

Wenn also die Ermittler nun ihr Augenmerk auf Twitter richten ist es doch nur logisch, dies nicht zu nutzen und dort zu agieren, wo sie nicht hinschauen. Je weniger man gesehen wird, desdo größer die Erfolgschance. Und es ist eine Gesetzmässigkeit, das die Verfolger nicht vor den Verfolgten sein können, sondern immer dahinter. Wenn die Ermittler also Twitter ins Visier nehmen, heist das twitter wurde letztes Jahr benutzt, dieses Jahr nutzt man aber was anderes. Und die Hacker müssen natürlich ihrerseits drauf warten bis sie rausfinden, ob sie schon entdeckt wurden oder nicht. Erst dan weichen sie aus und ab dann wird der Weg auch öffentlich propagandiert.

"Ich habs entdeckt"

Spätestens dann wird auch der letzte Hacker umsteigen. Wenn also die Hilfssheriffs schon drüber reden, benutzt es keiner mehr, lieber candoo.
hero member
Activity: 602
Merit: 500
Vertrau in Gott
December 14, 2013, 06:47:05 AM
#20
1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.

Tatsächlich ? Und woher weißt du sowas? Bist du in so einer Szene?

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out. Einfach weil man den Server killen kann und der Angreifer dann seine infizierten Rechner verliert.

Die dinger kommunizieren mittlerweile über  Twitter!!!! (IRC ist  bereits noch länger out)

legendary
Activity: 1232
Merit: 1011
Monero Evangelist
December 14, 2013, 06:17:57 AM
#19
1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.
3ds
full member
Activity: 238
Merit: 100
December 14, 2013, 06:10:15 AM
#18
ist doch eigentlich nichts neues...
legendary
Activity: 1232
Merit: 1011
Monero Evangelist
December 14, 2013, 06:06:06 AM
#17
Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?
http://www.walletrecoveryservices.com/
newbie
Activity: 7
Merit: 0
December 14, 2013, 05:52:23 AM
#16
Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?
legendary
Activity: 1882
Merit: 1108
December 11, 2013, 01:59:37 AM
#15
Seit 9.12 nichts mehr von ihm zu hören. Ich denke mal das war ein Metzger Tool: darfs etwas mehr sein?

Aber ja, genau so funktioniert Malware. Wieso soll sich ein Täter mühe machen, Hochsicherheitssysteme aufzubauen. Solche Software und die dazu gehörigen Server funktionieren in der regel nur wenige Tage, vieleicht 2-3 Wochen. In der Zeit kommt ein anderer Hacker kaum zwischen mich und meine Beute. Und wenn, scheiss drauf. Hab ich halt statt 1000 nur 950 Euro abgezockt. Dafür statt 10 Std auch nur 2 Std gearbeitet dran.

Die Wallet liegt da ganz sicher nur wenige Sekunden, dann ist sie weiter geleitet. Ein FTP-Server kann auch mittels Script jeden Dateieingang sofort weiterleiten an eine Mailadresse und dann die Datei löschen. Sowas zu coden dauert 5 Minuten. Die Mailadresse frage ich per TOR-Netzwerk ab. Und nun viel spaß beim Suchen.

Je komplizierter man Dinge macht, desdo schwerer wiegt ein Ausfall. Einen billigen FTP-Server mache ich in 30 Minuten(incl Server besorgen und DNS anpassen)
hero member
Activity: 707
Merit: 500
December 10, 2013, 11:02:32 AM
#14
Hast du beim Test von dem Ding mal monitoring mitlaufen lassen, was noch so passiert?
Wenn ich einen Wallet-Stealer coden würde, würd ich einbauen, dass jede geklaute Wallet nebenbei auch an mich selber geht.
Dann übernehmen nämlich andere die Verteilung für mich, und ich hab trotzdem die Coins.

Ich hoffe, in der Wallet, mit der du getestet hast, waren keine Keys von Adressen mit Coins...?
full member
Activity: 164
Merit: 100
December 10, 2013, 09:57:53 AM
#13
Ich denke, wer die nötigen Sachkenntnisse und die kriminelle Energie hat, wird wohl kaum, nur um FTP-Accounts korrekt einstellen zu können, extra ein kostenpflichtigen VPS holen oder cracken, und schon gar nicht, weil irgendein fremdes 4Free-Scriptkiddie-Tool, das selbst eine Hintertür eingebaut haben könnte, es so will.

Da skriptet ein halbwegs begabter Bösewicht, der die Mittel hat, sich so etwas besser gleich selbst (oder lässt jemand skripten) und nimmt zur Übertragung HTTP-Post statt FTP und kann somit auch einfache PHP-Freehoster für die temporäre Wallet-Sammelstelle verwenden, anstatt sich mit VPS und der genauen Rechtevergabe von FTP-Accounts herumärgern zu müssen.
legendary
Activity: 1232
Merit: 1011
Monero Evangelist
December 10, 2013, 08:16:29 AM
#12
Ricke: Die empfangenden FTP-Server sind so konfiguriert, das sie nur Upload erlauben. (Weder Verzeichnislisting ("Sehen") oder Download anderer geuploadeter Wallets ist möglich.)

"Seine" Zugangsdaten muss der Betreiber des Command-and-Controll-Server auch nicht angeben. Denn die Server die empfangen sind entweder gehackt oder es handelt sich um bezahlte 10$ VPS in China, Südafrika, Indien, usw.

Ausserdem bedenke, das Vicitim merkt ja typischerweise von dem Diebstahl gar nichts, kann also nicht auf die angesprochenen FTP-Schwächen (die wie dargestellt keine sind) nicht reagieren.
full member
Activity: 164
Merit: 100
December 10, 2013, 07:58:16 AM
#11
Ausspionierte Wallets sollen einfach per Filesystem auf FTP hochladen gewerden?

Dann muss der Täter ja seine Zugangsdaten für sein FTP-Server dem Stealer beilegen. Da normales FTP unverschlüsselt abläuft und FTP-Accounts gewöhnlicherweise per User/Pass-Authentifizierung individualisiert sind, sieht das (Netzwerk des) Opfer nicht nur, wohin der Stealer will, sondern kennt auch noch die Zugangsdaten, so das das Opfer die Wallets von sich und anderen Opfern runterladen, verändern und löschen kann, sofern der Hoster keine erweiterte Rechtevergabe unterstützt.

Es gibt noch Hoffnung, das zukünftig dank des ziemlich unausgegoren wirkenden Stealers noch ein paar Fälle von Bitcoinplünderei aufgeklärt werden können, bevor die nächste Generation der Stealer für die breite Masse am Start ist.
legendary
Activity: 2702
Merit: 1261
December 10, 2013, 01:14:14 AM
#10
Und auch nicht vergessen: Es gibt Paperwallets - sogar verschlüsselt.
sr. member
Activity: 406
Merit: 250
December 10, 2013, 01:06:54 AM
#9
@dewdeded:
Nicht über Erkältungen nachdenken, dann tropft die Nase nicht.
Keine amerikanischen Filme ansehen, dann verschwinden Schusswaffen.
Und das wichtigste: Modemstecker ziehen, schon gibt es keine Infektionen durch Walletstealer mehr!
legendary
Activity: 1245
Merit: 1004
December 09, 2013, 05:41:48 PM
#8
Das wichtigste fehlt:

VERSCHLÜSSELT EURE WALLETS


Das kann man nicht dick genug drucken!

VERSCHUSSELT EURE WALLETS. Click auf alle Flashanimationen, Emailattachements und zufällig auf dem Desktop auftauchende .exe's, lagert eure Altersversorgung in Altcoins und macht die Fenster und Türen auf, plus das Garagentor. Und bitte Fahrzeugschlüssel stecken lassen  Grin

Das wird sich verstärkt als einer der begrenzenden Faktoren für die Akzeptanz und Alltagstauglichkeit der Coins heraustellen. Im Prinzip wäre ja der Sicherheitstand konventionellen Onlinebankings zu erreichen, durch sichere Wallets in einer Bank. Bloß ... ahnst es schon? Muss ich's weiter ausführen?

"Trezor" scheint wichtiger zu werden.

Pages:
Jump to: