这个特洛伊木马只需 27 美元就能窃取比特币！

窃取信息的 Evrial 特洛伊木马正在犯罪论坛上出售，并在网络上广泛传播。 与大多数信息窃取木马一样，Evrial 可以窃取浏览器 cookie 和存储的凭据，但该木马还可以监视 Windows 剪贴板中的某些文本，如果检测到，则根据需要修改其内容。

Evrial木马信息窃取能力越来越强，但只有少数病毒引擎能检测到

安全研究人员 MalwareHunterTeam 和 Guido Not CISSP 最先发现并追踪到了 Evrial 木马。 Evrial 允许攻击者通过监视某些字符串的 Windows 剪贴板轻松劫持数字货币支付和 Steam 交易。 它是通过将合法的支付地址和 URL 替换为用户设置的地址来完成的。

在犯罪论坛上以 27 美元的价格购买 Evrial 木马

据 MalwareHunterTeam 称，Evrial 目前在俄罗斯犯罪论坛上的售价为 1,500 卢布，即 27 美元。 在广告中，卖家声明购买产品后，攻击者可以访问 Web 面板，他们可以在其中生成可执行文件。 此 Web 面板还可以设置剪贴板的修改，并允许攻击者配置应使用哪些替换字符串。

在广告中，卖家展示了 Evrial 木马网络控制面板的屏幕截图，如下所示。

Evrial 可以监视和修改 Windows 剪贴板的内容

Evrial 最有趣的功能是它会监视 Windows 剪贴板中某些类型的字符串，并用攻击者发送的字符串替换它们。 这允许攻击者将数字货币支付重新路由到他们控制的地址。 虽然剪贴板监控在这些类型的程序中很常见，但 MalwareHunterTeam 告诉外媒，修改功能很少见。

例如，用户在程序或网站中输入的比特币地址非常复杂。 当有人将比特币发送到交易所或钱包时，他们通常会将应该发送的地址复制到 Windows 剪贴板，然后将该地址粘贴到另一个正在执行发送的应用程序或站点中。

当 Evrial 在剪贴板中检测到比特币地址时，它会将合法地址替换为攻击者控制的地址。 然后受害者将该地址粘贴到他们的应用程序中，认为它是合法的，没有意识到它已被替换，然后点击发送。 现在，当发送比特币时，它们会转到攻击者的地址，而不是您的预期收件人。

Evrial 可以检测到的数字货币地址包括比特币、莱特币、门罗币、WebMoney、Qiwi 地址和 Steam 商品交易 URL 字符串。

当 Evrial 在剪贴板中检测到支持的字符串之一时，它会连接到远程站点，上传原始字符串，然后下载一个字符串作为替换字符串。 由于该字符串现在已被剪贴板替换比特币销售，因此当受害者执行粘贴到程序中时，将使用攻击者的字符串。

Evrial 可以窃取密码文件、截取屏幕截图并窃取浏览器凭据和 cookie

除了监视和修改剪贴板外，Evrial 还窃取比特币钱包、存储密码、受害者桌面上的文档以及活动窗口的屏幕截图。 所有这些信息将被编译成一个 zip 文件并上传到攻击者的 web 面板，如下所示。

Evrial 将通过查询注册表项来确定 Bitcoin wallet.dat 文件的位置。 如果密钥存在，它会窃取钱包以访问受害者的比特币。

Evrial 还会尝试窃取存储在浏览器中的凭据。 Evrial 可以窃取的浏览器包括 Chrome、Yandex、Orbitum、Opera、Amigo、Torch 和 Comodo。 Evrial 还会尝试窃取存储在 Pidgin 和 Filezilla 中的凭据。 最后，Evrial 还可以窃取 cookie 以及您放置在桌面上的文件。 所有这些数据连同活动窗口的屏幕截图将被上传到远程服务器，以便攻击者可以访问它。

如何保护自己免受 Evrial 木马攻击

目前还不完全清楚Evrial木马是如何传播的比特币销售，但最好的保护自己的方法是养成良好的使用习惯。 使用电脑时注意安装杀毒软件，避免访问不明链接。

要存储和转移比特币等大量数字资产，必须使用硬件钱包。 网络在线钱包极易受到特洛伊木马攻击。 不使用网络聊天工具发送涉及资金账户的各种密码。