1

Mitte

G DATA Logo

G DATA Logo

Mitte

www.gdata.de/blog

ralf.benzmueller@gdata.de

@rb_gdata

Wallet Stealer

In den Fußstapfen der Banking-Trojaner

Ralf Benzmüller, G DATA Software

2

Mitte

Dem Virenschutz sein Zuhause

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Deutscher Anbieter von IT-Sicherheitslösungen

Gegründet 1985 in Bochum

Heute knapp 500 Mitarbeiter

G DATA Software AG•Erster Virenschutz 1987

•Heute breite Palette von Produkten undDienstleistungen für Privat- und Businesskunden

•Produkte weltweit erhältlich

G DATA Advanced Analytics•Gründung 2015

•Hochwertige, produktunabhängige Services

•Security Consulting, Incident Response,

•Malware Analysis, Software Integration, …

Intro

G DATA Überblick

3

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Machine Learning @ G DATA

Mitte 01

၈

G DATA Logo

)

)

Intro Crypto-Währungen

Agenda

4

Mitte

px)

Headline (40 px)

G DATA Logo

Crypto-Währungen

Überblick

https://coinmarketcap.com/ Daten vom 19.11.2018

Mitte

px)

Headline (40 px)

G DATA Logo

5

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Crypto-Währungen

Eckdaten

https://coinmarketcap.com/ Daten vom 19.11.2018

Crypto-Währungen 2081

Markets 15.891

Marktkapitalisierung 185.058.868.984 USD

24h Volume 13.350.841.689

BTC Anteil 52,6%

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Crypto-Währungen

Exchanges

https://coinmarketcap.com/ Daten vom 19.11.2018

6

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Mitte 02၈

၈

G DATA Logo

)

)

Wallets

Agenda

7

Mitte

px)

px)

G DATA Logo

Wallets

Es gibt sehr viele Wallets

Mitte

px)

px)

G DATA Logo

Funktion: Notwendig, um Crypto-Währungen zu verwendenVerwaltet private und öffentliche Schlüssel von Crypto-WährungenInteragiert mit der Blockchain, um Geld zu transferieren, Kontostand anzuzeigen etc.

Arten: DesktopOnlineMobileHardwarePaper

Anwendung Hot Storage – häufige TransaktionenCold Storage – für langfristige Anlagen

Wallets

Überblick

8

Mitte 03၈

၈

G DATA Logo

)

)

Wallet Stealer

Agenda

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Wallet Stealer

Eredel Stealer

Verbreitung E-Mail und Exploit

Seit Jun 2018

Kontext InfoStealer, Password Stealer, File Stealer, Form Grabber

Vorgehensweise Kopiert die Wallet-DateienBrowser-basiert

Betroffene Wallets Bitcoin, Litecoin, Ethereum, Monero, Dash, Electrum

Technische Details Konfiguration der zu stehlenden Dateien per Telegram Bot

9

Mitte

px)

Headline (40 px)

G DATA Logo

Wallet Stealer

Azorult

Verbreitung E-Mail-Kampagnen (Bewerbung), Exploit Kits auf Webseiten

Seit 2016

Kontext InfoStealer, Downloader, Banking-Trojaner, Ransomware

Tarnung Bedingungen (z.B. Cookies) für Download von ZieldateiAnhang von Mails passwortverschlüsselt. Passwort in Mail

Konfiguration *wallet*.txt,*seed*.txt,*btc*.txt,,*key*.txt,*2fa*.txt,*2fa*.png,*2fa*.jpg,*auth*.jpg,*auth*.png,*crypto*.txt,*coin*.txt,*poloniex*,*kraken*,*okex*,*binance*,*bitfinex*,*gdax*,*private*.txt,*upbit,**bcex*,*bithimb*,*hitbtc*,*bitflyer*,*kucoin*,*huobi*,*wallet.json*

CnC-Kommunikation XOR-verschlüsselt. Hardcoded 3-byte key

Betroffene Wallets u.a. Exodus, Jaxx, Mist, Ethereum, Electrum, Electrum-LTC

Mitte

Thema (28 px)

px)

G DATA Logo

Wallet Stealer

ComboJack – Clipboard Monitor

Verbreitung E-Mail mit PDF öffnet RTF mit eingebettem HTA, das DirectX Sicherheitslücke nutzt. Wenn das gelingt laden PowerShell-Skripte ein SFX nach, das ein weiteres passwort-geschütztes SFX mit ComboJack nachlädt

Seit Feb 2018

Vorgehensweise Ersetzt Wallet-Adressen in der Zwischenablage durch eigene

Betroffene Wallets Bitcoin, Litecoin, Ethereum, Monero, Qiwi, Yandex Money, WebMoney

10

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Wallet Stealer

ComboJack – Clipboard Monitor

Wallet Kriterien

Ethereum Länge: 42; startet mit „0“

Monero Länge: 106; startet mit „4“

Bitcoin Länge: 34; startet mit „1“

Litecoin Länge: 34; startet mit „L“

Qiwi Länge: 11; startet mit „8“

WebMoney Rubel Länge: 13; startet mit „R“

WebMoney USD Länge: 13; startet mit „Z“

Yandex Money Länge: 15; startet mit „4100“

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Wallet Stealer

Jigsaw Bitcoin Stealer

Verbreitung Datei-Download

Seit April 2018

Kontext Jigsaw Ransomware

Ursprung Japan

Vorgehensweise Ändert Bitcoin-Adresse in der Zwischenablage Ersetzen durch eigene Bitcoin-AdresseGilt nur für einzelne AdressenUSP: Auswahl einer Ziel-Adresse mit ähnlichem Anfang und Ende aus 10.000Nutzt Mixer-Service um Transaktionen zu verschleiern

Betroffene Ziele Bitcoin /^1|3[1-9A-HJ-NP-Za-km-z]{26,34}$/

11

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Wallet Stealer

Evrial – Wallet Stealer und Clipboard Monitor

Verbreitung E-Mail-Kampagnen (Bewerbung), Exploit Kits auf Webseiten

Seit Jan. 2018

Kontext InfoStealer, Wallet Stealer (BTC), Document Stealer, Password Stealer

Vorgehensweise Ändern bestimmter Inhalte in der Zwischenablage Erkennung von Bitcoin-Adressen und ersetzen durch eigene (CnC-Rückfrage)

Betroffene Wallets Bitcoin, Litecoin, Monero, WebMoney, Qiwi und Steam

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Wallet Stealer

njRAT Lime Edition – Wallet Stealer und Ransomware

Verbreitung njRAT aka Bladabindi

Seit 2013

Kontext Keylogger, Password Stealer, Screenlocker, DDoS, USB-Wurm

Vorgehensweise Sucht nach Prozessnamen und Titeln von FensternErkennung von Bitcoin-Adressen Manipulation der Transaktion

Betroffene Wallets BitcoinCore, Bitcoin.com Wallet, Electrum

CnC-Kommunikation Proprietäres TCP protocol über DNS

Technische Daten Basiert auf .NET Framework

Tarnung VM Detection, Anti-AV

12

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Zugangsdaten zu Syscoin github von einem der Entwickler gestohlen

Juni 2018: Ersetzt Windows Client durch Version mit Arkei Stealer

Client ermöglicht Mining von Syscoins und Verwaltung von Syscoins

Kostet 80 $

Alternative Angriffe

Syscoin – Github Hack

Arkei Stealer

Verbreitung Datei-Download von Syscoin

Kontext InfoStealer (Passwörter, Cookies, Dateien, SystemInfo), Form Grabber, Downloader

Vorgehensweise Kopieren der Wallet-Dateien

Betroffene Wallets Bitcoin Core, Ethereum, ElectrumLTC, Monero, Electrum, Dash, Litecoin, ElectronCahs, ZCash, MultiDoge, AnonCoin, BBQCoin, DigitalCoin, FlorinCoin, Franko, FreiCoin, GoldCoin, InfiniteCoin, IOCoin, IxCoin, MegaCoin, MinCoin, NameCoin, PrimeCoin, TerraCoin, YACoin

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

AnonCoin

BBQCoin

Bitcoin

Bitcoin Cash

Bitcoin Core

Bitcoin.com Wallet

BlackCoin

Bytecoin

Cardano

Dash

DevCoin

DigitalCoin

Dogecoin

ElectronCash

Electroneum

Wallet Stealer

Alle Targets

Electrum

ElectrumLTC

EmerCoin

Ethereum

Exodus

FlorinCoin

Franko

FreiCoin

GoldCoin

Graft

InfiniteCoin

IOCoin

IxCoin

Lisk

Litecoin

MegaCoin

MinCoin

Miota

Monero

Monero Core

MultiBitHD

MultiDoge

Namecoin

Neo

PrimeCoin

Qiwi

Qtum

ReddCoin

Ripple

Stellar

Stratis

Targets

TerraCoin

ViaCoin

Waves

WebMoney

WME, WMR

WMU, WMX

WMZ

YACoin

YaMoney

Yandex Money

ZCash

Zicash

13

Mitte

Thema (28 px)

Headline (40 px)

G DATA Logo

Total: 945

Wallet Stealer

Häufigkeitsverteilung Oktober 2018

Mitte 04၈

၈

G DATA Logo

)

)

Fazit

Agenda

14

Mitte

px)

px)

G DATA Logo

Der Milliardenmarkt Crypto-Geld ist auch in der CyberCrime-Ökonomie angekommen

Nach dem Run auf Ransomware und Crypto-Jacking sind Wallets beliebte Ziele

Professionelle Angriffe sind vielschichtig

Diese Gefahr sollte man nicht unterschätzen

Fazit

CyberCrime geht dahin, wo das Geld ist

Mitte

G DATA Logo

Vielen Dank

Diskussion

Web: www.gdata.de

Mail: ralf.benzmueller@gdata.de

Twitter: @rb_gdata