Троян Evrial подменяет информацию в буфере обмена Windows
Как сообщает Bleeping Computer, специалисты MalwareHunterTeam и Guido Not CISSP изучили и подробно описали действие трояна Evrial, активно распространяемого на нелегальных ресурсах и уже замеченного на компьютерах пользователей.
Помимо обычных для подобных программ функций, таких как кража учетных записей и анализ куки, новый зловред способен контролировать буфер обмена Windows и модифицировать его содержимое.
Обнаружив в скопированной информации номера электронных кошельков, данные о трансфере криптовалют или ссылку на предложение обмена в Steam, троян подменяет их на другие, принадлежащие злоумышленникам.
Пользователи нередко используют буфер обмена, отправляя криптовалюту или расплачиваясь электронными деньгами. Если не проверить платежные данные до совершения транзакции, деньги уйдут преступнику. В данный момент Evrial обрабатывает сведения о платежах и кошельках Bitcoin, Litecoin, Monero, WebMoney, Qiwi и Steam.
Такой подход не является чем-то новым — в конце прошлого года стало известно, что зловред CryptoShuffler похитил более $150 тысяч, изменяя номера BTC-кошельков в буфере обмена. Троян оставался незамеченным почти год и наворовал 23,21 биткойна.
Помимо подмены информации в буфере обмена, Evrial обладает стандартным для подобных программ функционалом:
- похищает данные cookie-файлов;
- крадет учетные записи;
- копирует файлы пользователей с рабочего стола;
- делает скриншоты активного окна Windows.
Зловред также ищет в системе файл wallet.dat, чтобы получить доступ к BTC-кошельку. Evrial способен получать пароли, сохраненные в браузерах Chrome, Yandex, Opera, Comodo, Amigo, Orbitum и Torch, а также учетные данные утилит FileZilla и Pidgin.
Популярность криптовалют и отсутствие контроля за их оборотом со стороны государственных органов делают этот сегмент финансового рынка лакомым кусочком для мошенников. Киберпреступники используют весь арсенал доступных средств — от фишинговых сайтов до атак на майнинговые сервисы.