RU EN

Троян Evrial подменяет информацию в буфере обмена Windows

24 Янв. 2018

Как сообщает Bleeping Computer, специалисты MalwareHunterTeam и Guido Not CISSP изучили и подробно описали действие трояна Evrial, активно распространяемого на нелегальных ресурсах и уже замеченного на компьютерах пользователей.

Помимо обычных для подобных программ функций, таких как кража учетных записей и анализ куки, новый зловред способен контролировать буфер обмена Windows и модифицировать его содержимое.

Обнаружив в скопированной информации номера электронных кошельков, данные о трансфере криптовалют или ссылку на предложение обмена в Steam, троян подменяет их на другие, принадлежащие злоумышленникам.

Пользователи нередко используют буфер обмена, отправляя криптовалюту или расплачиваясь электронными деньгами. Если не проверить платежные данные до совершения транзакции, деньги уйдут преступнику. В данный момент Evrial обрабатывает сведения о платежах и кошельках Bitcoin, Litecoin, Monero, WebMoney, Qiwi и Steam.

Такой подход не является чем-то новым — в конце прошлого года стало известно, что зловред CryptoShuffler похитил более $150 тысяч, изменяя номера BTC-кошельков в буфере обмена. Троян оставался незамеченным почти год и наворовал 23,21 биткойна.

Помимо подмены информации в буфере обмена, Evrial обладает стандартным для подобных программ функционалом:

  • похищает данные cookie-файлов;
  • крадет учетные записи;
  • копирует файлы пользователей с рабочего стола;
  • делает скриншоты активного окна Windows.

Зловред также ищет в системе файл wallet.dat, чтобы получить доступ к BTC-кошельку. Evrial способен получать пароли, сохраненные в браузерах Chrome, Yandex, Opera, Comodo, Amigo, Orbitum и Torch, а также учетные данные утилит FileZilla и Pidgin.

View image on Twitter
Программа продается на подпольных форумах, в том числе русскоязычных — за 1500 рублей, что примерно равно $27. После оплаты покупатель получает доступ к веб-панели, в которой может создать исполняемый файл, настроить его и контролировать работу трояна. Такая модель распространения затрудняет борьбу с Evrial, ведь способ доставки владелец каждой копии определяет сам.

Популярность криптовалют и отсутствие контроля за их оборотом со стороны государственных органов делают этот сегмент финансового рынка лакомым кусочком для мошенников. Киберпреступники используют весь арсенал доступных средств — от фишинговых сайтов до атак на майнинговые сервисы.

threatpost.ru

Спасибо за доверие!

Специалист свяжется с Вами в ближайшее время.