Експерти виявили новий троянець Evrial, здатний перехоплювати з буфера обміну Windows адреси гаманців Bitcoin і підміняти їх адресами, які під контролем зловмисників.
Буфер обміну як місце злочину
Експерти груп MalwareHunterTeam і Guido Not CISSP виявили новий троянець під назвою Evrial, здатний перехоплювати з буфера обміну Windows адреси гаманців Bitcoin і підміняти їх адресами, які під контролем зловмисників. Для цього Evrial цілеспрямовано відстежує поєднання символів.
Окрім гаманців Bitcoin, він також може розпізнавати та модифікувати адреси криптовалют Litecoin, Monero та платіжних систем WebMoney та Qiwi. Він також дозволяє перехоплювати транзакції, пов'язані з ігровими віртуальними предметами усередині платформи Steam.
Покупець отримує доступ до панелі управління (з англійською, судячи з скріншот, інтерфейсом), який дозволяє сконструювати файл, що виконується, і вказати, які комбінації символів відстежувати і на що їх замінювати. Інформацію про це троянець завантажує з віддаленого сервера кожного конкретного випадку; у локальних копіях цих відомостей немає.
Шкідлива заміна
Експерти вказують, що хоча моніторинг буфера обміну Windows є досить поширеною серед шкідливих програм поведінкою, можливість заміни його вмісту зустрічається вкрай рідко.
Адреси гаманців Bitcoin є складними комбінаціями символів, які користувачі рідко вводять вручну. Троянець розрахований на неуважного користувача, який не перевіритиме, чи відповідає скопійована адресна комбінація символів вставленої, а отже, висока ймовірність, що гроші — звичайні або у вигляді криптовалют — підуть зовсім не тим людям, яким збиралася заплатити потенційна жертва.
Окрім заміни адрес електронних гаманців, Evrial здатний безпосередньо красти з них криптовалюту (адреси троянець видобує із системного реєстру), красти локальні паролі та файли cookie з браузерів Chrome, Opera, Comodo, «Яндекс.браузера», а також Orbitum, Torch та Amigo з FTP-клієнта Filezilla та чат-клієнта Pidgin, документи з робочого столу жертви. Evrial здатний робити скріншоти активних вікон. Всі ці дані потім упаковуються в .ZIP-архів, який надсилається операторам шкідливого.
На даний момент точно невідомо, яким чином троянець поширюється, тому єдиний спосіб протистояти йому — це тримати антивіруси. напоготові і по кілька разів перевіряти ще раз адреси гаманців Bitcoin та інших криптовалют при їх пересиланні будь-кому.
