Evrial Trojan cambia las direcciones de Bitcoin copiadas al portapapeles de Windows

Yago Gómez Trenor - Analista de Seguridad de Vintegris

Yago Gómez Trenor – Analista de Seguridad de Vintegris

Un nuevo troyano que roba información llamado Evrial se vende en foros criminales y se distribuye activamente en la naturaleza.

Como la mayoría de los troyanos, Evrial puede robar las cookies del navegador y las credenciales almacenadas, pero este troyano también tiene la capacidad de monitorear el texto del portapapeles de Windows, y si se detecta, modificarlo a otra cosa.

Primero descubierto y rastreado por investigadores de seguridad, al monitorear el portapapeles de Windows para ciertas cadenas, Evrial hace que sea fácil para los atacantes secuestrar los pagos de criptomonedas y los intercambios de Steam.

Esto se hace reemplazando direcciones de pago legítimas y URL con direcciones bajo el control del atacante.

Evrial se vende en foros criminales

Evrial actualmente se vende en foros criminales rusos por 1.500 rublos o ~ $ 27 USD.

En el anuncio, el vendedor declara que después de comprar el producto, un atacante obtiene acceso a un panel web que les permite construir un ejecutable.

Este panel web también realiza un seguimiento de las modificaciones realizadas en el portapapeles y permite que un atacante configure qué cadenas de reemplazo se deben usar.

Evrial toma el control del portapapeles de Windows

La característica más interesante de Evrial es que supervisará el portapapeles de Windows para ciertos tipos de cadenas y las reemplazará por las enviadas por el atacante.

Esto permite al atacante redirigir un pago de criptomoneda a una dirección bajo su control. Mientras que la supervisión del portapapeles es común con programas como este.

Por ejemplo, las direcciones de bitcoin no son la cadena de texto más fácil de escribir en un programa o sitio web.

Debido a esto, cuando alguien envía bitcoins a un intercambio o billetera, generalmente copian la dirección a la que deben enviarse las monedas en el portapapeles de Windows y luego pegan esa dirección en la otra aplicación o sitio que está realizando el envío.

Cuando Evrial detecta una dirección de bitcoin en el portapapeles, reemplaza esa dirección legítima con una bajo el control del atacante. La víctima luego pega esa dirección en su aplicación, pensando que es la legítima y no se da cuenta de que ha sido reemplazada, y envía clics. Ahora, cuando se envían los bitcoins, van a la dirección del atacante en lugar de a su destinatario.

Evrial está configurado para detectar cadenas que corresponden a Bitcoin, Litecoin, Monero, WebMoney, direcciones Qiwi y URLs de artículos de Steam.

 

 

Por Yago Gómez Trenor – Analista de Seguridad de Vintegris