IT-säkerhetsföretaget Palo Alto Networks har spårat skadeprogrammet WeSteal till en italiensk hackergrupp med namnet ComplexCodes. ComplexCodes har tidigare kopplats till andra verktyg för stöld av kryptovaluta samt programmet WeControl som kan användas för så kallade C2-attacker och för att skapa botnät.
WeSteal fungerar genom att leta upp plånböcker för kryptovalutor på infekterade datorer. Sårbarheten uppstår när någon använder urklippsfunktioner i samband med en transaktion. Vid själva transaktionen byter WeSteal i bakgrunden ut den identifieringsinformation som användaren kopierar och klistrar in. Resultatet blir att pengarna hamnar i en annan plånbok än vad som avsetts. WeSteal påstås vara osynligt för vanliga antivirus-program och fungera för att stjäla flera olika kryptovalutor, bland dem Bitcoin och Ethereum.
Palo Alto Networks har delat data och information om WeSteal och hur aktören ComplexCodes uppträder med övriga medlemmar i Cyber Threat Alliance, ett nätverk för att bekämpa cyberbrottslighet genom att sprida kunskap om aktuella hot. Kunder till Palo Alto Networks som använder tjänster som Cortex XDR och Wildfire är också skyddade mot WeSteal.