黑基网 首页 资讯 安全圈 查看内容

Evrial:控制剪贴板盗取加密货币

2018-3-5 11:29| 投稿: lofor |来自: 互联网

摘要: E安全3月5日讯 ElevenPaths 的研究人员发现一款专门盗取加密货币的恶意软件 Evrial,它可以控制剪贴板“轻松赚钱”。Evrial是二次包装产物2017年,研究人员发现一款恶意软件 CryptoShuffle,这是一款能读取剪贴板内 ...

E安全3月5日讯 ElevenPaths 的研究人员发现一款专门盗取加密货币的恶意软件 Evrial,它可以控制剪贴板“轻松赚钱”。

Evrial是二次包装产物

2017年,研究人员发现一款恶意软件 CryptoShuffle,这是一款能读取剪贴板内容,修改加密货币地址的恶意软件样本。此后,不法分子意识到提供这些功能有利可图,将其命名“Evrial”并开始对外出售。

Evrial 由一个.NET恶意软件样本组成,它能从浏览器、FTP 客户端和 Pidgin 窃取密码,并且还能修改剪贴板的内容,允许攻击者通过控制面板进行操控。购买这款应用程序时,攻击者可设置“名称”登录面板,该名称会被硬编到代码中,从而使购买到的 Evrial 版本独一无二。

利用用户转账习惯

用户进行比特币转账时,通常会复制并粘贴目标地址。用户通常信任剪贴板的操作,会将新的交易发送至复制的地址,却不知接收地址已被攻击者“偷梁换柱”。恶意软件 Evrial 会在后台执行地址替换任务,包括比特币、以太币、门罗币、莱特币地址、Steam 标识符,以及 Webmoney WMR 和 WMZ。

接下来 Evrial 攻击或将增多

根据 MalwareHunterTeam 调查,Evrial现在在俄罗斯犯罪论坛上可售价1500卢比,折合约27美元。

检测Windows剪贴板中的字符串

在宣传广告中,售卖者声明称购买该产品之后,用户可访问一个Web面板,并生成一个可执行文件。该Web面板还可以跟踪剪贴板哪些内容发生了变化,攻击者再决定使用什么替换字符串。

替换剪贴板中的字符串

开发者在 Telegram 公开了自己的用户名:@Qutrachka。这名开发者在源代码中公开了社交账号是为了方便意向者与之取得联系。该信息和其它一些分析的样本或可以在不同的暗网论坛通过名称“Qutra”辨识身份。按照研究人员的判断,开发者的主要目标是销售这款恶意软件。也有证据证明,CryptoSuffer 恶意软件与这名威胁攻击者有关。

这名攻击者的比特币钱包收到21笔交易,收获近0.122个比特币。攻击者已将所有的资金转移到其它地址,企图模糊转移痕迹。另外,这名攻击者还收到0.0131个莱特币,目前这笔资金仍在他的钱包中。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱[email protected]
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论


新出炉

返回顶部