Специалисты MalwareHunterTeam и Guido Not CISSP обнаружили, что на черном рынке активно рекламируется и продается новый троян Evrial. Как и любой другой инфостилер, Evrial похищает с зараженных машин файлы cookie и учетные данные, однако авторы также «научили» свое детище внимательно следить за содержимым буфера обмена Windows.

Evrial не похищает из буфера обмена все подряд. Вместо этого троян дожидается, когда в буфер попадет адрес криптовалютного кошелька или URL предложения обмена Steam. Как только это происходит, малварь подменяет адрес кошелька или URL на адрес или ссылку, принадлежащие злоумышленникам. Список поддерживаемых криптовалют, браузеров и так далее можно увидеть ниже, на скриншоте рекламного объявления.

В настоящее время исследователи еще не определили, как именно распространяется Evrial, но, по данным MalwareHunterTeam, троян продается на русскоязычных андеграундных ресурсах по цене 1500 рублей. За эту сумму покупатель получает доступ к веб-панели, где может сконфигурировать малварь нужным ему образом: выбрать адреса и ссылки для замены, а также отслеживать подмены, уже осуществленные вредоносом.

Так, обнаруживая пригодную для подмены строку, Evrial связывается с удаленным сервером и загружает ее туда, а в ответ получает новую последовательность, которую нужно подставить в буфер пользователя.

Но одной только подменой данных в буфере обмена дело не обходится. Также Evrial похищает данные о криптовалютных кошельках (файлы wallet.dat), сохраненные на устройстве пароли (в частности из браузеров Chrome, Yandex, Orbitum, Opera, Amigo, Torch и Comodo, а также пароли, хранящиеся в Pidgin и Filezilla), документацию, и делает снимки активных окон жертвы. Вся эта информация упаковывается в архив (ZIP) и загружается на управляющий сервер. Просмотреть украденные данные можно прямо из панели управления малварью.

6 комментариев

  1. john_

    23.01.2018 at 12:13

    Что то слишком дешевое удовольствие. Почти бесплатное. А если продукт бесплатный — значит продукт — это ты.

    • va-dudnikov

      23.01.2018 at 14:39

      Было бы что продавать. Реализация ведь такой малвари простецкая.

    • fabien

      23.01.2018 at 15:15

      >продукт — это ты
      Все верно. Украденные данные получаешь с сервера продавца, к данным которого у продавца, естественно, полный доступ.

  2. john_

    23.01.2018 at 12:14

    Отличная разработка отечественных спецслужб 😂😂😂

  3. m2s2TNgqFNu4kvD5M

    24.01.2018 at 11:44

    а почему он на C# написан? что за троян на C#?

  4. megadeal

    24.01.2018 at 23:50

    Этот человек — пиздабол с соседнего форума, кидок (по отзывам), в России еще и заблокировали этот домен сайта и логи не приходят (Ахах, купил домен у рег.ру(рофл)), скоро и заблокируют все. Ждите через месяца 2 (максимум) проект будет брошенным.Ждите Zeffens (ботнет) от меня 😀

Оставить мнение