Evrial:使用剪贴板盗取比特币的最新恶意软件

发布者:CCkicker
发布于:2018-03-02 11:10

Evrial是由ElevenPaths的研究人员发现的一种用于窃取加密货币的恶意软件,它可以控制剪贴板从而“轻松赚钱”。

 

ElevenPaths已经在技术层面深入地分析了恶意软件,并且展示它的工作原理,还附有一个浅显易懂的视频。

 

 

在2017年底之前,CryptoShuffle是一个能够读取剪贴板内容并修改其中的加密货币地址的恶意软件。后来,有人意识到可以把提供这些功能作为一项服务,因而开始出售这个平台,并称之为“Evrial”。该产品由.NET恶意软件组成,能够从浏览器,FTP客户端,Pidgin窃取密码,并且它还可以动态修改剪贴板内容,以便将任何复制的加密货币地址更改为他想要的任何地址。

 

Evrial允许攻击者通过一个可视化界面来控制所有的数据,在这个面板中可以轻松地处理被窃取的数据。当攻击者购买应用程序后,他可以设置一个用户名来登录面板,随后用户名会在代码中硬编码,确保发布的Evrial只能由他本人使用。

 

当您想进行比特币转账时,您通常会复制并粘贴目标地址。从这个意义上说,攻击者一直等待,直到用户信任剪贴板操作,然后向复制的加密货币地址发送新的交易行为,然而却不知道收钱地址已被悄悄地修改为属于攻击者的地址。 恶意软件在后台为不同类型的地址执行此任务,包括Bitcoin,Litecoin,Ethereum和Monero地址以及Steam标识符和Webmoney WMR和WMZ单元。

 

作者在Telegram中公开了他的用户名:@Qutrachka,用户能够通过位于源代码中的账户联系到他。 通过使用这些信息和其他一些分析样本,并且在不同的网络论坛中用Qutra来进行用户识别,发现其主要目的是销售这种恶意软件。 我们甚至在Pastebin中发现一篇解释这个软件的功能的文章。

 

我们可以猜到每个钱包里大概有多少钱,根据受害者描述,攻击者总共收到了21笔比特币的交易,收集了大约0.122个BTC。 如果勒索软件钱包通常从受害者那里窃取到相同的金额,那说明受影响的范围更广,因为受害者想要做的合法付款通常当然是不同的金额。

 

 

攻击者已将所有资金转移到多个地址,试图模糊他的付款行为。 攻击者也收到了0.0131 Litecoins,但这笔钱仍在他的钱包中。 另一方面,由于该技术的运作方式,无法跟踪任何与他的Monero账户相关的付款,以及隐藏这些操作涉及哪些方面的信息。 同时,我们无法找到与他的各种Webmoney帐户(WMR和WMZ)相关的任何其他信息。 无论如何,很明显的是这种类型的恶意行为在技术上是可行的。

 

来源:securityaffairs

 

本文由看雪翻译小组 fyb波 编译


声明:该文观点仅代表作者本人,转载请注明来自看雪