只要27美元,你就能买来新一代的挖矿木马——Evrial

luochicun 新闻 2018年1月24日发布

导语:随着加密货币市场的繁荣(说是泡沫也行),与之相应的黑客技术也在加紧迭代。近日,安全研究团队MarlwareHunterTeam和Guido Not Cissp就联合发现了一款名为Evrial的木马,它不但可以监视Windows中某些文本的剪贴板,替换剪贴板内容并盗取

timg (1).jpg

随着加密货币市场的繁荣(说是泡沫也行),与之相应的黑客技术也在加紧迭代。近日,安全研究团队MarlwareHunterTeam和Guido Not Cissp就联合发现了一款名为Evrial的木马,它不但可以监视Windows中某些文本的剪贴板,替换剪贴板内容并盗取用户信息,而且还能替换加密货的支付地址和URL。

目前这款Evrial正在俄罗斯的一个黑客论坛上出售,你只要支付27美元,就可以访问一个网页,下载一个相关程序窃取木马,Evrial在窃取浏览器cookie和存储的凭据同时,还可以监视某些文本的Windows剪贴板,如果发现有用的信息,购买者还可以按需修改它的内容。

sold-on-forums.jpg

Evrial的俄罗斯黑市论坛

Evrial是如何替换剪交易地址

Evrial现在可对比特币,莱特币,门罗币,WebMoney,Qiwi地址和Steam交易网址进行修改,当Evrial检测到剪贴板中含有以上地址的字符串后,它会连接到远程地址,上传原有字符串,然后下载一个字符串作为替换,这一切都是悄无声息进行的,受害者很难意识到自己的地址被偷偷地替换掉。以下是操作的面板截图:

evrial-console.jpg

例如,用户在程序或网站输入的比特币地址都非常复杂,当有人向交换机或钱包发送比特币时,他们通常会将应发送到的地址复制到Windows剪贴板中,然后将该地址粘贴到正在执行发送其他应用程序或站点中。

当Evrial在剪贴板中检测到一个比特币地址时,它会用攻击者控制下的一个合法地址替换该合法地址。受害者然后将该地址粘贴到他们的应用程序,认为它的合法的,并没有意识到其被取代,并点击发送。成功替换地址后,当比特币被发送时,他们会转到攻击者的地址,而不是受害者想要的收件人。

Evrial检测到的字符串:

1.jpg

当Evrial检测到剪贴板中所支持的字符串时,它会连接到远程站点,上传原始字符串,然后下载一个字符串作为替换。

2.jpg

vrial还可以窃取比特币钱包密码,对目标桌面和活动窗口截图

除了监控和修改功能外,Evrial还可以窃取比特币钱包密码,对目标桌面和活动窗口截图,相关信息都被打包成压缩文件然后上传到攻击者的网址中。Evrial会扫描注册表并确认比特币钱包wallet.dat文件的位置,如果有密钥,它就会盗取比特币钱包。如下所示:

stolen-files.jpg

如下所示,wallet.dat位置被找出来。

7.jpg

Evrial也将尝试窃取浏览器中之前存储的凭据,Evrial能窃取的浏览器包括Chrome、Yandex、Orbitum、Opera、Amigo、Torch和Comodo。

8.jpg

Evrial也将尝试窃取存储在Pidgin和Filezilla中的凭据:

9.jpg

Evrial还可以窃取cookies:

10.jpg

所有这些数据以及活动窗口的屏幕截图都将被上传到远程服务器,以便攻击者可以访问它。

缓解措施

由于目前Evrial木马还处于野外利用阶段,还没有大规模的传播,因此还说不好它的预防方法,不过,保持良好的安全预防习惯应该是永不过时的对策。

如若转载,请注明原文地址: http://www.4hou.com/info/news/10061.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论