Хакеры научились подменять адреса Bitcoin-кошельков при копипасте

Буфер обмена какместо преступления Эксперты групп MalwareHunterTeam и Guido Not CISSP выявилиновый троянец под названием Evrial, способный перехватывать из буфера обменаWindows адреса кошельков Bitcoin и подменять их адресами, находящимися подконтролем злоумышленников. Для этого Evrial целенаправленно отслеживаеткомбинации символов. Помимо кошельков Bitcoin, он также может распознавать имодифицировать адреса криптовалют Litecoin, Monero и российских платежныхсистем WebMoney и Qiwi. Он также позволяет перехватывать транзакции, связанныес игровыми виртуальными предметы внутри платформы Steam. Сам троянец торгуется на русскоязычных киберкриминальныхфорумах за 1,5 тыс. руб. Покупатель получает доступ к панели управления (санглийским, судя по скриншотам, интерфейсом), который позволяет сконструироватьисполняемый файл и указать, какие комбинации символов отслеживать и на что ихзаменять. Информацию об этом троянец скачивает с удаленного сервера для каждогоконкретного случая; в его локальных копиях этих сведений нет. Вредоносная подмена Эксперты указывают, что хотя мониторинг буфера обменя Windows— довольно распространенное среди вредоносных программ поведение, возможностьзамены его содержимого встречается крайне редко. http://filearchive.cnews.ru/img/news/2017/11/27/bitkoin600.jpg"> Троянец подменяет адреса кошельков Bitcoin в буфере обмена Windows «Адреса кошельков Bitcoin представляют собой сложныекомбинации символов, которые пользователи редко вводят вручную, — говорит [b]Олег Галушкин[/b], эксперт поинформационной безопасности компании SEC Consult Services. — Троянец рассчитанна невнимательного пользователя, который не будет проверть, соответствует лископированная адресная комбинация символов вставленной, а следовательно высокавероятность, что деньги — обычные или в виде криптовалют — уйдут совсем не темлюдям, которым собиралась заплатить потенциальная жертва». Помимо подмены адресов электронных кошельков, Evrialспособен непосредственно красть из них криптовалюту (адреса троянец добывает из системногореестра), воровать локальные пароли и файлы cookie из браузеров Chrome, Opera,Comodo, «Яндекс.браузера», а также Orbitum, Torch и Amigo из FTP-клиентаFilezilla и чат-клиента Pidgin, документы с рабочего стола жертвы. Evrial способенделать скриншоты активных окон. Все эти данные затем упаковываются в .ZIP-архив,который отправляется операторам вредоноса. На данный момент точно неизвестно, каким образом троянецраспространяется, так что единственный способ противостоять ему — это держатьантивирусы наготове и по несколько раз перепроверять адреса кошельков Bitcoin идругих криптовалют при их пересылке кому бы то ни было.[img]http://filearchive.cnews.ru/img/news/2017/11/27/bitkoin600.jpg"> Троянец подменяет адреса кошельков Bitcoin в буфере обмена Windows «Адреса кошельков Bitcoin представляют собой сложныекомбинации символов, которые пользователи редко вводят вручную, — говорит Олег Галушкин, эксперт поинформационной безопасности компании SEC Consult Services. — Троянец рассчитанна невнимательного пользователя, который не будет проверть, соответствует лископированная адресная комбинация символов вставленной, а следовательно высокавероятность, что деньги — обычные или в виде криптовалют — уйдут совсем не темлюдям, которым собиралась заплатить потенциальная жертва». Помимо подмены адресов электронных кошельков, Evrialспособен непосредственно красть из них криптовалюту (адреса троянец добывает из системногореестра), воровать локальные пароли и файлы cookie из браузеров Chrome, Opera,Comodo, «Яндекс.браузера», а также Orbitum, Torch и Amigo из FTP-клиентаFilezilla и чат-клиента Pidgin, документы с рабочего стола жертвы. Evrial способенделать скриншоты активных окон. Все эти данные затем упаковываются в .ZIP-архив,который отправляется операторам вредоноса. На данный момент точно неизвестно, каким образом троянецраспространяется, так что единственный способ противостоять ему — это держатьантивирусы наготове и по несколько раз перепроверять адреса кошельков Bitcoin идругих криптовалют при их пересылке кому бы то ни было.