Хакеры научились подменять адреса Bitcoin-кошельков при копипасте

В киберподполье
активно распространяется новый троянец под названием Evrial, способный
перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять при
вставке на те, что принадлежат злоумышленникам. Это далеко не единственная его
функция, но одна из самых зловредных.

Буфер обмена какместо преступления

Эксперты групп MalwareHunterTeam и Guido Not CISSP выявилиновый троянец под названием Evrial, способный перехватывать из буфера обменаWindows адреса кошельков Bitcoin и подменять их адресами, находящимися подконтролем злоумышленников. Для этого Evrial целенаправленно отслеживаеткомбинации символов.

Помимо кошельков Bitcoin, он также может распознавать имодифицировать адреса криптовалют Litecoin, Monero и российских платежныхсистем WebMoney и Qiwi. Он также позволяет перехватывать транзакции, связанныес игровыми виртуальными предметы внутри платформы Steam.

Сам троянец торгуется на русскоязычных киберкриминальныхфорумах за 1,5 тыс. руб. Покупатель получает доступ к панели управления (санглийским, судя по скриншотам, интерфейсом), который позволяет сконструироватьисполняемый файл и указать, какие комбинации символов отслеживать и на что ихзаменять. Информацию об этом троянец скачивает с удаленного сервера для каждогоконкретного случая; в его локальных копиях этих сведений нет.

Вредоносная подмена

Эксперты указывают, что хотя мониторинг буфера обменя Windows— довольно распространенное среди вредоносных программ поведение, возможностьзамены его содержимого встречается крайне редко.

Троянец подменяет адреса кошельков Bitcoin в буфере обмена Windows

«Адреса кошельков Bitcoin представляют собой сложныекомбинации символов, которые пользователи редко вводят вручную, — говорит Олег Галушкин, эксперт поинформационной безопасности компании SEC Consult Services. — Троянец рассчитанна невнимательного пользователя, который не будет проверть, соответствует лископированная адресная комбинация символов вставленной, а следовательно высокавероятность, что деньги — обычные или в виде криптовалют — уйдут совсем не темлюдям, которым собиралась заплатить потенциальная жертва».

Помимо подмены адресов электронных кошельков, Evrialспособен непосредственно красть из них криптовалюту (адреса троянец добывает из системногореестра), воровать локальные пароли и файлы cookie из браузеров Chrome, Opera,Comodo, «Яндекс.браузера», а также Orbitum, Torch и Amigo из FTP-клиентаFilezilla и чат-клиента Pidgin, документы с рабочего стола жертвы. Evrial способенделать скриншоты активных окон. Все эти данные затем упаковываются в .ZIP-архив,который отправляется операторам вредоноса.

На данный момент точно неизвестно, каким образом троянецраспространяется, так что единственный способ противостоять ему — это держатьантивирусы наготове и по несколько раз перепроверять адреса кошельков Bitcoin идругих криптовалют при их пересылке кому бы то ни было.