Разделы

ПО Безопасность Интернет

Хакеры научились подменять адреса Bitcoin-кошельков при копипасте

В киберподполье активно распространяется новый троянец под названием Evrial, способный перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять при вставке на те, что принадлежат злоумышленникам. Это далеко не единственная его функция, но одна из самых зловредных.

Буфер обмена как место преступления

Эксперты групп MalwareHunterTeam и Guido Not CISSP выявили новый троянец под названием Evrial, способный перехватывать из буфера обмена Windows адреса кошельков Bitcoin и подменять их адресами, находящимися под контролем злоумышленников. Для этого Evrial целенаправленно отслеживает комбинации символов.

Помимо кошельков Bitcoin, он также может распознавать и модифицировать адреса криптовалют Litecoin, Monero и российских платежных систем WebMoney и Qiwi. Он также позволяет перехватывать транзакции, связанные с игровыми виртуальными предметы внутри платформы Steam.

Сам троянец торгуется на русскоязычных киберкриминальных форумах за 1,5 тыс. руб. Покупатель получает доступ к панели управления (с английским, судя по скриншотам, интерфейсом), который позволяет сконструировать исполняемый файл и указать, какие комбинации символов отслеживать и на что их заменять. Информацию об этом троянец скачивает с удаленного сервера для каждого конкретного случая; в его локальных копиях этих сведений нет.

Вредоносная подмена

Эксперты указывают, что хотя мониторинг буфера обменя Windows — довольно распространенное среди вредоносных программ поведение, возможность замены его содержимого встречается крайне редко.

Троянец подменяет адреса кошельков Bitcoin в буфере обмена Windows

«Адреса кошельков Bitcoin представляют собой сложные комбинации символов, которые пользователи редко вводят вручную, — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. — Троянец рассчитан на невнимательного пользователя, который не будет проверть, соответствует ли скопированная адресная комбинация символов вставленной, а следовательно высока вероятность, что деньги — обычные или в виде криптовалют — уйдут совсем не тем людям, которым собиралась заплатить потенциальная жертва».

Облачные тренды-2030: как будет меняться ИТ-климат
Облачные тренды

Помимо подмены адресов электронных кошельков, Evrial способен непосредственно красть из них криптовалюту (адреса троянец добывает из системного реестра), воровать локальные пароли и файлы cookie из браузеров Chrome, Opera, Comodo, «Яндекс.браузера», а также Orbitum, Torch и Amigo из FTP-клиента Filezilla и чат-клиента Pidgin, документы с рабочего стола жертвы. Evrial способен делать скриншоты активных окон. Все эти данные затем упаковываются в .ZIP-архив, который отправляется операторам вредоноса.

На данный момент точно неизвестно, каким образом троянец распространяется, так что единственный способ противостоять ему — это держать антивирусы наготове и по несколько раз перепроверять адреса кошельков Bitcoin и других криптовалют при их пересылке кому бы то ни было.

Роман Георгиев