Bitcoin Wallet Stealer? | Bitcointalksearch.org

Chefin

legendary

Activity: 1882

Merit: 1108

Quote from: donggua on January 11, 2014, 05:28:58 AM

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out

Wenn du einen Virus schreiben wolltest, was würdest du wählen?

Je weniger ein Weg überwacht wird oder auch nur überwachbar ist, desdo größer die Chance das du unentdeckt bleibst. Ein Mörder auf einer einsamen Landstrasse zu fnden ist leicht. Finde den aber mal in einem Fussballstation wenn Bayern gegen Dortmund spielt.

Wenn also die gegner nicht mehr so genau hinschauen, dann nutze ich genau das. Die überwachen das dann wieder mehr, dann wechsel ich ebenfalls. Immer unterm dem Radar bleiben, sich aber auch immer ans Radar anpassen

therealbigcoin

sr. member

Activity: 729

Merit: 251

IRC is out? Was meinst du wie die botnetze gesteuert werden?
Naja wenn die größten Gegner ( AntiVirus Hersteller) das sagen, dann muss es ja stimmen.

donggua

newbie

Activity: 31

Merit: 0

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out

3ds

full member

Activity: 238

Merit: 100

nächstes Beispiel: DogeCoin -> https://bitcointalksearch.org/topic/m.4057952

3ds

full member

Activity: 238

Merit: 100

Ich verstehe es echt nicht.

z.B. bei "MemoryCoin 2.0 (MMC)" hab ich am 16.12. nach Hash Werten vom Client gefragt: https://bitcointalksearch.org/topic/m.3990347 Dennoch wurden von den Entwicklern keine MD5/SHA1 o.ä. veröffentlicht.

Bei den folgenden mußte ich auch erstmal nachfragen, veröffentlichen aber nun auch hashes:

* Primecoin: https://bitcointalksearch.org/topic/m.3721907
* Infinitecoin: https://bitcointalksearch.org/topic/m.3721179
* QuarkCoin: https://bitcointalksearch.org/topic/m.3719061
* ProtoShare: https://bitcointalksearch.org/topic/m.3706191

Wahrscheinlich gibt es aber noch einige andere, die keine hashes veröffentlichen.

Also wenn ich kriminelle Energieen hätte, würde ich mich bei den neuen Alt-Coins umsehen, die Clients verändern und auf den Rechnern im User-Verzeichnis nach "wallet.dat" suchen und diese versenden... Oder besser noch, die existierenden Clients verändern um Buchungen alles Coins zu veranlassen... Wobei das viel Aufwändiger wäre, aber auch bei Passwortgeschützten wallets funktioniert.

In der Vergangenheit gab es doch schon des öfteren Einbrüche in Webseiten und "Wallet stealer" gab es auch schon...

Also ich verstehe es nicht...

3ds

full member

Activity: 238

Merit: 100

Was ich nicht verstehe, das es immer wieder Altcoin Client Downloads gibt, bei den keine Hashes veröffentlicht werden... Huh

Chefin

legendary

Activity: 1882

Merit: 1108

Natürlich gibt es Schadsoftware die Twitter nutzt, aber sobald das public wird, werden die Macher von twitter Gegenmassnahmen ergreifen. Und bei zentralisierten Diensten geht das dann auch einfach und schnell.

Wenn also die Ermittler nun ihr Augenmerk auf Twitter richten ist es doch nur logisch, dies nicht zu nutzen und dort zu agieren, wo sie nicht hinschauen. Je weniger man gesehen wird, desdo größer die Erfolgschance. Und es ist eine Gesetzmässigkeit, das die Verfolger nicht vor den Verfolgten sein können, sondern immer dahinter. Wenn die Ermittler also Twitter ins Visier nehmen, heist das twitter wurde letztes Jahr benutzt, dieses Jahr nutzt man aber was anderes. Und die Hacker müssen natürlich ihrerseits drauf warten bis sie rausfinden, ob sie schon entdeckt wurden oder nicht. Erst dan weichen sie aus und ab dann wird der Weg auch öffentlich propagandiert.

"Ich habs entdeckt"

Spätestens dann wird auch der letzte Hacker umsteigen. Wenn also die Hilfssheriffs schon drüber reden, benutzt es keiner mehr, lieber candoo.

candoo

hero member

Activity: 602

Merit: 500

Vertrau in Gott

Quote from: dewdeded on December 14, 2013, 06:17:57 AM

1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.

Tatsächlich ? Und woher weißt du sowas? Bist du in so einer Szene?

Ich habe mal eine ausführliche Dokumentation von einem Hersteller gelesen, der Virenscanner vertreibt. Demnach ist FTP Upload schon seit über 10 Jahren total out. Einfach weil man den Server killen kann und der Angreifer dann seine infizierten Rechner verliert.

Die dinger kommunizieren mittlerweile über Twitter!!!! (IRC ist bereits noch länger out)

dewdeded

legendary

Activity: 1232

Merit: 1011

Monero Evangelist

1.) 3ds: Jo, das ist richtig.
2.) Ist es Quatsch über FTP-Upload zu diskutieren. Jeder der sich in der Malware-Szene auch nur etwas auskennt, weiss das FTP-Upload absoluter Standard (neben HTTP Post) ist. Und dass selbst die professionellste Malware die man kaufen kann - zB. Bankingbots wie Citadel oder ICE, die 10.000$ / Lizenz und mehr kosten - FTP-Upload haben. Und die Leute die so etwas coden, machen sich SEHR viele Gedanken und wissen schon was für ihre Malware (und ihre Kunden, die Botmaster) ambesten ist.

3ds

full member

Activity: 238

Merit: 100

ist doch eigentlich nichts neues...

dewdeded

legendary

Activity: 1232

Merit: 1011

Monero Evangelist

Quote from: SERI0US on December 14, 2013, 05:52:23 AM

Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?

http://www.walletrecoveryservices.com/

SERI0US

newbie

Activity: 7

Merit: 0

Habe diesen Topic grad aus zufall gesehen, kann mir das irgendwie helfen an mein wallet password zu kommen?

Chefin

legendary

Activity: 1882

Merit: 1108

Seit 9.12 nichts mehr von ihm zu hören. Ich denke mal das war ein Metzger Tool: darfs etwas mehr sein?

Aber ja, genau so funktioniert Malware. Wieso soll sich ein Täter mühe machen, Hochsicherheitssysteme aufzubauen. Solche Software und die dazu gehörigen Server funktionieren in der regel nur wenige Tage, vieleicht 2-3 Wochen. In der Zeit kommt ein anderer Hacker kaum zwischen mich und meine Beute. Und wenn, scheiss drauf. Hab ich halt statt 1000 nur 950 Euro abgezockt. Dafür statt 10 Std auch nur 2 Std gearbeitet dran.

Die Wallet liegt da ganz sicher nur wenige Sekunden, dann ist sie weiter geleitet. Ein FTP-Server kann auch mittels Script jeden Dateieingang sofort weiterleiten an eine Mailadresse und dann die Datei löschen. Sowas zu coden dauert 5 Minuten. Die Mailadresse frage ich per TOR-Netzwerk ab. Und nun viel spaß beim Suchen.

Je komplizierter man Dinge macht, desdo schwerer wiegt ein Ausfall. Einen billigen FTP-Server mache ich in 30 Minuten(incl Server besorgen und DNS anpassen)

trasla

hero member

Activity: 707

Merit: 500

Hast du beim Test von dem Ding mal monitoring mitlaufen lassen, was noch so passiert?
Wenn ich einen Wallet-Stealer coden würde, würd ich einbauen, dass jede geklaute Wallet nebenbei auch an mich selber geht.
Dann übernehmen nämlich andere die Verteilung für mich, und ich hab trotzdem die Coins.

Ich hoffe, in der Wallet, mit der du getestet hast, waren keine Keys von Adressen mit Coins...?

Ricke

full member

Activity: 164

Merit: 100

Ich denke, wer die nötigen Sachkenntnisse und die kriminelle Energie hat, wird wohl kaum, nur um FTP-Accounts korrekt einstellen zu können, extra ein kostenpflichtigen VPS holen oder cracken, und schon gar nicht, weil irgendein fremdes 4Free-Scriptkiddie-Tool, das selbst eine Hintertür eingebaut haben könnte, es so will.

Da skriptet ein halbwegs begabter Bösewicht, der die Mittel hat, sich so etwas besser gleich selbst (oder lässt jemand skripten) und nimmt zur Übertragung HTTP-Post statt FTP und kann somit auch einfache PHP-Freehoster für die temporäre Wallet-Sammelstelle verwenden, anstatt sich mit VPS und der genauen Rechtevergabe von FTP-Accounts herumärgern zu müssen.

dewdeded

legendary

Activity: 1232

Merit: 1011

Monero Evangelist

Ricke: Die empfangenden FTP-Server sind so konfiguriert, das sie nur Upload erlauben. (Weder Verzeichnislisting ("Sehen") oder Download anderer geuploadeter Wallets ist möglich.)

"Seine" Zugangsdaten muss der Betreiber des Command-and-Controll-Server auch nicht angeben. Denn die Server die empfangen sind entweder gehackt oder es handelt sich um bezahlte 10$ VPS in China, Südafrika, Indien, usw.

Ausserdem bedenke, das Vicitim merkt ja typischerweise von dem Diebstahl gar nichts, kann also nicht auf die angesprochenen FTP-Schwächen (die wie dargestellt keine sind) nicht reagieren.

Ricke

full member

Activity: 164

Merit: 100

Ausspionierte Wallets sollen einfach per Filesystem auf FTP hochladen gewerden?

Dann muss der Täter ja seine Zugangsdaten für sein FTP-Server dem Stealer beilegen. Da normales FTP unverschlüsselt abläuft und FTP-Accounts gewöhnlicherweise per User/Pass-Authentifizierung individualisiert sind, sieht das (Netzwerk des) Opfer nicht nur, wohin der Stealer will, sondern kennt auch noch die Zugangsdaten, so das das Opfer die Wallets von sich und anderen Opfern runterladen, verändern und löschen kann, sofern der Hoster keine erweiterte Rechtevergabe unterstützt.

Es gibt noch Hoffnung, das zukünftig dank des ziemlich unausgegoren wirkenden Stealers noch ein paar Fälle von Bitcoinplünderei aufgeklärt werden können, bevor die nächste Generation der Stealer für die breite Masse am Start ist.

mezzomix

legendary

Activity: 2702

Merit: 1261

Und auch nicht vergessen: Es gibt Paperwallets - sogar verschlüsselt.

amigaman

sr. member

Activity: 406

Merit: 250

@dewdeded:
Nicht über Erkältungen nachdenken, dann tropft die Nase nicht.
Keine amerikanischen Filme ansehen, dann verschwinden Schusswaffen.
Und das wichtigste: Modemstecker ziehen, schon gibt es keine Infektionen durch Walletstealer mehr!

numismatist

legendary

Activity: 1245

Merit: 1004

Quote from: Freyr on December 08, 2013, 01:41:25 PM

Das wichtigste fehlt:

VERSCHLÜSSELT EURE WALLETS

Das kann man nicht dick genug drucken!

VERSCHUSSELT EURE WALLETS. Click auf alle Flashanimationen, Emailattachements und zufällig auf dem Desktop auftauchende .exe's, lagert eure Altersversorgung in Altcoins und macht die Fenster und Türen auf, plus das Garagentor. Und bitte Fahrzeugschlüssel stecken lassen Grin

Das wird sich verstärkt als einer der begrenzenden Faktoren für die Akzeptanz und Alltagstauglichkeit der Coins heraustellen. Im Prinzip wäre ja der Sicherheitstand konventionellen Onlinebankings zu erreichen, durch sichere Wallets in einer Bank. Bloß ... ahnst es schon? Muss ich's weiter ausführen?

"Trezor" scheint wichtiger zu werden.

dewdeded

legendary

Activity: 1232

Merit: 1011

Monero Evangelist

Finde (Bitcoin-)Malware sollte hier nicht (positiv) diskutiert und erklärt werden.

Sondern entweder gar nicht besprochen wer und wer unbedingt auf die dunkle Seite will, sollte sich in Malware- und Fraud-Foren begeben.

Rave

sr. member

Activity: 336

Merit: 250

Linux auf USB Stick installieren, Wallet installieren, Wallet verschlüsseln, fertig.

Leute die Windows verwenden und 20 Icons auf dem Desktop haben, von denen sie noch nicht einmal die Hälfte kennen, sollten ohnehin keinen Wallet Client auf ihrem Rechner installieren Tongue

Freyr

hero member

Activity: 665

Merit: 521

Quote from: amigaman on December 08, 2013, 12:30:09 PM

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

Das wichtigste fehlt:

VERSCHLÜSSELT EURE WALLETS

klaus

legendary

Activity: 1946

Merit: 1004

2011 gabs schon exe's die als Mining-Booster unter die Leute gebracht wurden. Und damals war bitcoin-qt noch nicht verschlüsselt...

UNLEASHED

newbie

Activity: 46

Merit: 0

Quote from: amigaman on December 08, 2013, 12:30:09 PM

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

Die exe kann ja auf verschiedene Wege verteilt werden? Sie kann getarnt sein usw. Es muss ja nicht umbedingt im Mail Verkehr geschehen?

amigaman

sr. member

Activity: 406

Merit: 250

Erstmal muss der Empfänger so doof sein, eine per Mail zugeschickte Exe zu starten.
Und dann hoffe ich doch, das ein Mail-Antivirus das Teil schon vorher aussondert.
Und zu guter letzt sollte der Rechner mit der wallet entweder nicht viel beinhalten oder nicht zum Surfen benutzt werden...

UNLEASHED

newbie

Activity: 46

Merit: 0

Hey alle zusammen!

Ich sah gerade den Thread hier: https://bitcointalksearch.org/topic/bitcoin-hack-349999

Und da viel mir mein Thread ein den ich bereits im Englischen Off-Topic gepostet habe. Darum geht es um eine, wie ich denke, neue Masche des Bitcoin Betrügens.

Da geht es mir um dieses Video was ich fand:
https://www.youtube.com/watch?v=NIpu8uW6oPQ

In diesem Video passiert folgendes:

Ein Tool wird ausgeführt, der Builder.
In diesem Tool hat man die möglichkeit seine FTP-Daten anzugeben an die der Wallet gesendet werden soll.
Zu ende hin erhält man eine ".exe" Datei. In diesem Fall ist es der Trojaner.
Sendet man diesen Trojaner an eine Person wird sein Wallet auf den vorher angegebenen FTP-Server hochgeladen.

Das dies geht habe ich zuerst selber nicht geglaubt. Also lud ich mir den Builder aus der Beschreibung runter und probierte das ganze doch mal an mir selbst aus.
Siehe da - mein Wallet war auf meinem FTP Server. Ich habe ihn dann heruntergeladen und probiert ob ich ihn denn wiederverwenden kann.

Und siehe da. Auch das klappt.

Was haltet ihr davon? Wie kann man gegen sowas vorgehen?

Mfg.

Topic: Bitcoin Wallet Stealer? (Read 5287 times)