Evrial：控制剪貼板盜取加密貨幣

E安全3月5日訊 ElevenPaths 的研究人員發現一款專門盜取加密貨幣的惡意軟體 Evrial，它可以控制剪貼板「輕鬆賺錢」。

Evrial是二次包裝產物

2017年，研究人員發現一款惡意軟體 CryptoShuffle，這是一款能讀取剪貼板內容，修改加密貨幣地址的惡意軟體樣本。此後，不法分子意識到提供這些功能有利可圖，將其命名「Evrial」並開始對外出售。

Evrial 由一個.NET惡意軟體樣本組成，它能從瀏覽器、FTP 客戶端和 Pidgin 竊取密碼，並且還能修改剪貼板的內容，允許攻擊者通過控制面板進行操控。購買這款應用程序時，攻擊者可設置「名稱」登錄面板，該名稱會被硬編到代碼中，從而使購買到的 Evrial 版本獨一無二。

利用用戶轉賬習慣

用戶進行比特幣轉賬時，通常會複製並粘貼目標地址。用戶通常信任剪貼板的操作，會將新的交易發送至複製的地址，卻不知接收地址已被攻擊者「偷梁換柱」。惡意軟體 Evrial 會在後台執行地址替換任務，包括比特幣、以太幣、門羅幣、萊特幣地址、Steam 標識符，以及 Webmoney WMR 和 WMZ。

接下來 Evrial 攻擊或將增多

根據MalwareHunterTeam調查，Evrial現在在俄羅斯犯罪論壇上可售價1500盧比，摺合約27美元。

檢測Windows剪貼板中的字元串

在宣傳廣告中，售賣者聲明稱購買該產品之後，用戶可訪問一個Web面板，並生成一個可執行文件。該Web面板還可以跟蹤剪貼板哪些內容發生了變化，攻擊者再決定使用什麼替換字元串。

替換剪貼板中的字元串

開發者在 Telegram 公開了自己的用戶名：@Qutrachka。這名開發者在源代碼中公開了社交賬號是為了方便意向者與之取得聯繫。該信息和其它一些分析的樣本或可以在不同的暗網論壇通過名稱「Qutra」辨識身份。按照研究人員的判斷，開發者的主要目標是銷售這款惡意軟體。也有證據證明，CryptoSuffer 惡意軟體與這名威脅攻擊者有關。

這名攻擊者的比特幣錢包收到21筆交易，收穫近0.122個比特幣。攻擊者已將所有的資金轉移到其它地址，企圖模糊轉移痕迹。另外，這名攻擊者還收到0.0131個萊特幣，目前這筆資金仍在他的錢包中。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/320223056.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！