Evrial：控制剪贴板窃取密码

ESecurity，3 月 5 日。ElevenPaths 的研究人员发现了 Evrial，这是一种窃取加密货币的恶意软件，可以控制剪贴板以“轻松赚钱”。

Evrial 是二次包装产品

2017 年，研究人员发现了一种名为 CryptoShuffle 的恶意软件，该恶意软件可以读取恶意软件样本，该样本会获取剪贴板的内容并修改加密地址。此后，犯罪分子意识到提供这些功能是有利可图的，将其命名为“Evrial”并开始销售。

Evrial 包含一个 .NET 恶意软件样本，它从浏览器、FTP 客户端和 Pidgin 窃取密码，并修改剪贴板的内容，允许攻击者通过控制面板对其进行操作。购买应用程序时，攻击者可以设置一个“名称”登录面板，该面板被硬编码到代码中，使购买的 Evrial 版本独一无二。

使用用户转移习惯

当用户进行比特币转账时，他们通常会复制并粘贴目标地址。用户通常信任剪贴板的操作，并将新的交易发送到复制的地址，而不知道接收地址已被攻击者“窃取”。恶意软件 Evrial 在后台执行地址替换任务，包括比特币、以太坊、门罗币、莱特币地址、Steam 标识符以及 Webmoney WMR 和 WMZ。

接下来的 Evrial 攻击可能会增加

根据 MalwareHunterTeam 的一项调查，现在 Evrial 在俄罗斯犯罪论坛上的售价为 1,500 卢比，约合 27 美元。

检测 Windows 剪贴板中的字符串

在广告中，卖家表示在购买产品后，用户可以访问网络面板并生成可执行文件。 Web 面板还可以跟踪剪贴板上的更改，然后攻击者可以决定使用什么替换字符串。

替换剪贴板中的字符串

开发者在 Telegram 上发布了他的用户名：@Qutrachka。开发者在源码中公开了社交账号，方便有兴趣的人联系。这些信息和其他一些分析样本可能会在各种暗网论坛上通过名称“Qutra”来识别。根据研究人员的判断比特币可以复制粘贴吗，开发人员的主要目标是出售恶意软件。还有证据表明 CryptoSuffer 恶意软件与该威胁参与者有关。

攻击者的比特币钱包收到了 21 笔交易比特币可以复制粘贴吗，产生了将近 0.122 个比特币。攻击者已将所有资金转移到其他地址，试图掩盖转移痕迹。此外，攻击者还收到了 0.0131 莱特币，这些莱特币仍在他的钱包中。