Evrial是由ElevenPaths的研究人員發現的一種用於竊取加密貨幣的惡意軟體,它可以控制剪貼簿從而“輕鬆賺錢”。
ElevenPaths已經在技術層面深入地分析了惡意軟體,並且展示它的工作原理,還附有一個淺顯易懂的視訊。
在2017年底之前,CryptoShuffle是一個能夠讀取剪貼簿內容並修改其中的加密貨幣地址的惡意軟體。後來,有人意識到可以把提供這些功能作為一項服務,因而開始出售這個平臺,並稱之為“Evrial”。該產品由.NET惡意軟體組成,能夠從瀏覽器,FTP客戶端,Pidgin竊取密碼,並且它還可以動態修改剪貼簿內容,以便將任何複製的加密貨幣地址更改為他想要的任何地址。
Evrial允許攻擊者通過一個視覺化介面來控制所有的資料,在這個皮膚中可以輕鬆地處理被竊取的資料。當攻擊者購買應用程式後,他可以設定一個使用者名稱來登入皮膚,隨後使用者名稱會在程式碼中硬編碼,確保釋出的Evrial只能由他本人使用。
當您想進行比特幣轉賬時,您通常會複製並貼上目標地址。從這個意義上說,攻擊者一直等待,直到使用者信任剪貼簿操作,然後向複製的加密貨幣地址傳送新的交易行為,然而卻不知道收錢地址已被悄悄地修改為屬於攻擊者的地址。 惡意軟體在後臺為不同型別的地址執行此任務,包括Bitcoin,Litecoin,Ethereum和Monero地址以及Steam識別符號和Webmoney WMR和WMZ單元。
作者在Telegram中公開了他的使用者名稱:@Qutrachka,使用者能夠通過位於原始碼中的賬戶聯絡到他。 通過使用這些資訊和其他一些分析樣本,並且在不同的網路論壇中用Qutra來進行使用者識別,發現其主要目的是銷售這種惡意軟體。 我們甚至在Pastebin中發現一篇解釋這個軟體的功能的文章。
我們可以猜到每個錢包裡大概有多少錢,根據受害者描述,攻擊者總共收到了21筆比特幣的交易,收集了大約0.122個BTC。 如果勒索軟體錢包通常從受害者那裡竊取到相同的金額,那說明受影響的範圍更廣,因為受害者想要做的合法付款通常當然是不同的金額。
攻擊者已將所有資金轉移到多個地址,試圖模糊他的付款行為。 攻擊者也收到了0.0131 Litecoins,但這筆錢仍在他的錢包中。 另一方面,由於該技術的運作方式,無法跟蹤任何與他的Monero賬戶相關的付款,以及隱藏這些操作涉及哪些方面的資訊。 同時,我們無法找到與他的各種Webmoney帳戶(WMR和WMZ)相關的任何其他資訊。 無論如何,很明顯的是這種型別的惡意行為在技術上是可行的。
來源:securityaffairs
本文由看雪翻譯小組 fyb波 編譯