Эксперты выявили новый троянец Evrial, способный перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять их адресами, находящимися под контролем злоумышленников.
Буфер обмена как место преступления
Эксперты групп MalwareHunterTeam и Guido Not CISSP выявили новый троянец под названием Evrial, способный перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять их адресами, находящимися под контролем злоумышленников. Для этого Evrial целенаправленно отслеживает комбинации символов.
Помимо кошельков Bitcoin, он также может распознавать и модифицировать адреса криптовалют Litecoin, Monero и платежных систем WebMoney и Qiwi. Он также позволяет перехватывать транзакции, связанные с игровыми виртуальными предметы внутри платформы Steam.
Покупатель получает доступ к панели управления (с английским, судя по скриншотам, интерфейсом), который позволяет сконструировать исполняемый файл и указать, какие комбинации символов отслеживать и на что их заменять. Информацию об этом троянец скачивает с удаленного сервера для каждого конкретного случая; в его локальных копиях этих сведений нет.
Вредоносная подмена
Эксперты указывают, что хотя мониторинг буфера обменя Windows — довольно распространенное среди вредоносных программ поведение, возможность замены его содержимого встречается крайне редко.
Адреса кошельков Bitcoin представляют собой сложные комбинации символов, которые пользователи редко вводят вручную. Троянец рассчитан на невнимательного пользователя, который не будет проверть, соответствует ли скопированная адресная комбинация символов вставленной, а следовательно высока вероятность, что деньги — обычные или в виде криптовалют — уйдут совсем не тем людям, которым собиралась заплатить потенциальная жертва.
Помимо подмены адресов электронных кошельков, Evrial способен непосредственно красть из них криптовалюту (адреса троянец добывает из системного реестра), воровать локальные пароли и файлы cookie из браузеров Chrome, Opera, Comodo, «Яндекс.браузера», а также Orbitum, Torch и Amigo из FTP-клиента Filezilla и чат-клиента Pidgin, документы с рабочего стола жертвы. Evrial способен делать скриншоты активных окон. Все эти данные затем упаковываются в .ZIP-архив, который отправляется операторам вредоноса.
На данный момент точно неизвестно, каким образом троянец распространяется, так что единственный способ противостоять ему — это держать антивирусы наготове и по несколько раз перепроверять адреса кошельков Bitcoin и других криптовалют при их пересылке кому бы то ни было.
