האקרים הפועלים בדארקנט מנסים למכור שם תוכנות ריגול, כופר ושליטה לכל המרבה במחיר – מה שקרוי בעגה המקצועית commodity malware. אבל הם עדיין חוששים מחקירות של חברות סייבר או גופי אכיפה ולכן מסווים את המטרה האמיתית של התוכנות הללו. איש מהם לא רוצה להיקשר באופן ישיר עם הפצת כלים למתקפות סייבר. ההאקרים שמאחורי תוכנת WeSteal, והאתר בשם WeSupply לא משחקים לפי הכללים האלה. הם מתרברבים בפרסומות עם מראה מקצועי שאומרות באופן גלוי: WeSteal היא הדרך הכי טובה לעשות כסף ב-2021.

סקירה של Unit 42, יחידת המחקר של ענקית הסייבר פאלו אלטו נטוורקס בחנה לעומק את הפעילות של WeSupply ומפתחי תוכנת התקיפה ComplexCodes ומספקת הצצה לאופן שבו האקרים מפרסמים את המוצרים שלהם ברשת האפלה. המפתחים, ככל הנראה מאיטליה, לא מסתירים את כוונותיהם – להרוויח כסף מהפצת תוכנות תקיפה. שם התוכנה "WeSteal" (אנו גונבים) מופיע ב"פרסומות" שלהם בדארקנט או בשרת דיסקורד, והם אף מתהדרים בסלוגן שיווקי קליט: "WeSupply – You profit" – ("אנו מספקים – אתם מרוויחים!").

בפרסומת אחרת, למוצר שמתמקד בגניבת מטבעות קריפטוגרפיים בשם Crypto Stealer הם מצהירים בגלוי שהתוכנה מנצלת פרצות ללא צורך בפעולה אקטיבית של הקורבן (zero-day) ועוקפת תוכנות אנטי-וירוס. הם גם מפרטים כיצד התוכנה שלהם כוללת יישומים ל"מעקב אחר הקורבן" ולניטור "הדבקות" - במלים האלה ממש, בלי להשאיר שום ספק באשר למטרה של התוכנות שלהם.

המודל העסקי של התוקפים הוא שירות מינוי – שימוש בתוכנה עבור 20 אירו לחודש, 50 אירו לשלושה חודשים או 125 אירו לשנה. על מנת לגנוב מטבעות קריפטוגרפיים מהקורבנות, WeSteal משתמש בביטויים רגילים כדי לחפש מחרוזות של תווים התואמות את הדפוסים של קודי הזיהוי המשמשים ארנקי ביטקוין או את'ריום שמועתקים ללוח הזיכרון (clipboard). כאשר התוכנה מאתרת מחזורות התואמים את הדפוסים של הארנקים הללו, היא מחליפה את הקוד המזהה הלגיטימי בקוד אחר, מזויף, שמספקת התוכנה הזדונית. כשהקורבן מדביק את הקוד המזהה בארנק שלו לצורך ביצוע העסקה, והכספים נשלחים לארנק של התוקף במקום לארנק של הקורבן.

"WeSteal היא תוכנה זדונית חסרת בושה עם פונקציה אחת בלבד שהיא בלתי חוקית בעליל. הפשטות שלה מאפשרת גניבה קלה של מטבעות קריפטוגרפיים, גם אם לא מדובר בסכומים גבוהים בכל פעם. המשתמשים בתוכנה אינם תוקפים מתוחכמים במיוחד אך הם ללא ספק גנבים, לא פחות מכייסים ברחוב הומה. הפשעים שלהם אמיתיים כמו הקורבנות שלהם", כתבו חוקרי Unit 42. "שרשרת הערך המהירה והפשוטה, האנונימיות של גניבת מטבעות קריפטוגרפיים, העלות הנמוכה של ההפעלה והפשטות שלה יהפכו ללא ספק את הסוג הזה של כלי תקיפה לאטרקטיביים ופופולריים לגנבים פחות מיומנים".