Evrial：使用剪貼簿盜取比特幣的最新惡意軟體

Evrial是由ElevenPaths的研究人員發現的一種用於竊取加密貨幣的惡意軟體，它可以控制剪貼簿從而“輕鬆賺錢”。

ElevenPaths已經在技術層面深入地分析了惡意軟體，並且展示它的工作原理，還附有一個淺顯易懂的視訊。

在2017年底之前，CryptoShuffle是一個能夠讀取剪貼簿內容並修改其中的加密貨幣地址的惡意軟體。後來，有人意識到可以把提供這些功能作為一項服務，因而開始出售這個平臺，並稱之為“Evrial”。該產品由.NET惡意軟體組成，能夠從瀏覽器，FTP客戶端，Pidgin竊取密碼，並且它還可以動態修改剪貼簿內容，以便將任何複製的加密貨幣地址更改為他想要的任何地址。

Evrial允許攻擊者通過一個視覺化介面來控制所有的資料，在這個皮膚中可以輕鬆地處理被竊取的資料。當攻擊者購買應用程式後，他可以設定一個使用者名稱來登入皮膚，隨後使用者名稱會在程式碼中硬編碼，確保釋出的Evrial只能由他本人使用。

當您想進行比特幣轉賬時，您通常會複製並貼上目標地址。從這個意義上說，攻擊者一直等待，直到使用者信任剪貼簿操作，然後向複製的加密貨幣地址傳送新的交易行為，然而卻不知道收錢地址已被悄悄地修改為屬於攻擊者的地址。 惡意軟體在後臺為不同型別的地址執行此任務，包括Bitcoin，Litecoin，Ethereum和Monero地址以及Steam識別符號和Webmoney WMR和WMZ單元。

作者在Telegram中公開了他的使用者名稱：@Qutrachka，使用者能夠通過位於原始碼中的賬戶聯絡到他。 通過使用這些資訊和其他一些分析樣本，並且在不同的網路論壇中用Qutra來進行使用者識別，發現其主要目的是銷售這種惡意軟體。 我們甚至在Pastebin中發現一篇解釋這個軟體的功能的文章。

我們可以猜到每個錢包裡大概有多少錢，根據受害者描述，攻擊者總共收到了21筆比特幣的交易，收集了大約0.122個BTC。 如果勒索軟體錢包通常從受害者那裡竊取到相同的金額，那說明受影響的範圍更廣，因為受害者想要做的合法付款通常當然是不同的金額。

攻擊者已將所有資金轉移到多個地址，試圖模糊他的付款行為。 攻擊者也收到了0.0131 Litecoins，但這筆錢仍在他的錢包中。 另一方面，由於該技術的運作方式，無法跟蹤任何與他的Monero賬戶相關的付款，以及隱藏這些操作涉及哪些方面的資訊。 同時，我們無法找到與他的各種Webmoney帳戶（WMR和WMZ）相關的任何其他資訊。 無論如何，很明顯的是這種型別的惡意行為在技術上是可行的。

來源：securityaffairs

本文由看雪翻譯小組 fyb波 編譯