Хакеры научились подменять адреса Bitcoin-кошельков при копипасте

Софт Безопасность Интернет
мобильная версия
, Текст: Роман Георгиев

В киберподполье активно распространяется новый троянец под названием Evrial, способный перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять при вставке на те, что принадлежат злоумышленникам. Это далеко не единственная его функция, но одна из самых зловредных.


Буфер обмена как место преступления

Эксперты групп MalwareHunterTeam и Guido Not CISSP выявили новый троянец под названием Evrial, способный перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять их адресами, находящимися под контролем злоумышленников. Для этого Evrial целенаправленно отслеживает комбинации символов.

Помимо кошельков Bitcoin, он также может распознавать и модифицировать адреса криптовалют Litecoin, Monero и российских платежных систем WebMoney и Qiwi. Он также позволяет перехватывать транзакции, связанные с игровыми виртуальными предметы внутри платформы Steam.

Сам троянец торгуется на русскоязычных киберкриминальных форумах за 1,5 тыс. руб. Покупатель получает доступ к панели управления (с английским, судя по скриншотам, интерфейсом), который позволяет сконструировать исполняемый файл и указать, какие комбинации символов отслеживать и на что их заменять. Информацию об этом троянец скачивает с удаленного сервера для каждого конкретного случая; в его локальных копиях этих сведений нет.

Вредоносная подмена

Эксперты указывают, что хотя мониторинг буфера обменя Windows — довольно распространенное среди вредоносных программ поведение, возможность замены его содержимого встречается крайне редко.

Троянец подменяет адреса кошельков Bitcoin в буфере обмена Windows

«Адреса кошельков Bitcoin представляют собой сложные комбинации символов, которые пользователи редко вводят вручную, — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Троянец рассчитан на невнимательного пользователя, который не будет проверть, соответствует ли скопированная адресная комбинация символов вставленной, а следовательно высока вероятность, что деньги — обычные или в виде криптовалют — уйдут совсем не тем людям, которым собиралась заплатить потенциальная жертва».

Помимо подмены адресов электронных кошельков, Evrial способен непосредственно красть из них криптовалюту (адреса троянец добывает из системного реестра), воровать локальные пароли и файлы cookie из браузеров Chrome, Opera, Comodo, «Яндекс.браузера», а также Orbitum, Torch и Amigo из FTP-клиента Filezilla и чат-клиента Pidgin, документы с рабочего стола жертвы. Evrial способен делать скриншоты активных окон. Все эти данные затем упаковываются в .ZIP-архив, который отправляется операторам вредоноса.

На данный момент точно неизвестно, каким образом троянец распространяется, так что единственный способ противостоять ему — это держать антивирусы наготове и по несколько раз перепроверять адреса кошельков Bitcoin и других криптовалют при их пересылке кому бы то ни было.