ElevenPaths 的研究人员发现一款专门盗取加密货币的恶意软件 Evrial,它可以控制剪贴板“轻松赚钱”。

1.jpg

Evrial是二次包装产物

2017年,研究人员发现一款恶意软件 CryptoShuffle,这是一款能读取剪贴板内容,修改加密货币地址的恶意软件样本。此后,不法分子意识到提供这些功能有利可图,将其命名“Evrial”并开始对外出售。

Evrial 由一个.NET恶意软件样本组成,它能从浏览器、FTP 客户端和 Pidgin 窃取密码,并且还能修改剪贴板的内容,允许攻击者通过控制面板进行操控。购买这款应用程序时,攻击者可设置“名称”登录面板,该名称会被硬编到代码中,从而使购买到的 Evrial 版本独一无二。

QQ截图20180228145337.jpg

利用用户转账习惯

用户进行比特币转账时,通常会复制并粘贴目标地址。用户通常信任剪贴板的操作,会将新的交易发送至复制的地址,却不知接收地址已被攻击者“偷梁换柱”。恶意软件 Evrial 会在后台执行地址替换任务,包括比特币、以太币、门罗币、莱特币地址、Steam 标识符,以及 Webmoney WMR 和 WMZ。

接下来 Evrial 攻击或将增多

根据 MalwareHunterTeam 调查,Evrial现在在俄罗斯犯罪论坛上可售价1500卢比,折合约27美元。

检测Windows剪贴板中的字符串

在宣传广告中,售卖者声明称购买该产品之后,用户可访问一个Web面板,并生成一个可执行文件。该Web面板还可以跟踪剪贴板哪些内容发生了变化,攻击者再决定使用什么替换字符串。

替换剪贴板中的字符串

开发者在 Telegram 公开了自己的用户名:@Qutrachka。这名开发者在源代码中公开了社交账号是为了方便意向者与之取得联系。该信息和其它一些分析的样本或可以在不同的暗网论坛通过名称“Qutra”辨识身份。按照研究人员的判断,开发者的主要目标是销售这款恶意软件。也有证据证明,CryptoSuffer 恶意软件与这名威胁攻击者有关。

QQ截图20180228100137.jpg

这名攻击者的比特币钱包收到21笔交易,收获近0.122个比特币。攻击者已将所有的资金转移到其它地址,企图模糊转移痕迹。另外,这名攻击者还收到0.0131个莱特币,目前这笔资金仍在他的钱包中。

 

 

本文转自:E安全