Эксперты MalwareHunterTeam и Guido Not CISSP выяснили, что в даркнете идет активная реклама и продажа новой троянской программы Evrial. Как и любая другая шпионская программа, Evrial собирает на инфицированных машинах файлы cookie и учетную информацию, но ее разработчики также добавили функцию отслеживания содержимого буфера обмена Windows.
Evrial не собирает все, что находится в буфере обмена. Вместо этого троянская программа ждет, когда в буфере окажется адрес криптокошелька. Evrial заменяет адрес кошелька на адрес, принадлежащий киберпреступникам. Программа поддерживает криптовалюты Bitcoin, Litecoin, Monero и Ethereum, а также работает с браузерами Chromium, Google Chrome, Opera, Kometa, Amigo, Orbitum, Comodo Dragon и Яндекс.Браузер.
Эксперты пока что не выяснили, каким образом происходит распространение Evrial, но, согласно информации MalwareHunterTeam, продажа троянской программы осуществляется на русскоязычных подпольных сайтах по цене 1500 рублей. Заплатив данную сумму, покупатель получает доступ к панели, где может выбрать нужные адреса для замены, а также следить за статусом тех кошельков, которые вредоносная программа уже успела подменить.
При обнаружении строки, подходящей для подмены, Evrial загружает ее на удаленный сервер, а в качестве ответа получает новую комбинацию символов, которую следует вставить в буфер обмена пользователя.
Кроме того, Evrial осуществляет кражу информации о кошельках криптовалюты, паролей, сохраненных на устройстве, документов. Также программа может делать скриншоты. Все похищенные данные упаковываются в zip-архив и загружаются на командный сервер. Просмотр украденной информации возможен лишь из панели управления Evrial.
