фахівці MalwareHunterTeam і Guido Not CISSP виявили, що на чорному ринку активно рекламується і продається новий троян Evrial. Як і будь-який інший інфостілер, Evrial викрадає з заражених машин файли cookie та облікові дані, проте автори також «навчили» своє дітище уважно стежити за вмістом буфера обміну Windows.
Evrial не викрадав з буфера обміну все підряд. Замість цього троян чекає, коли в буфер потрапить адреса кріптовалютного гаманця або URL пропозиції обміну Steam. Як тільки це відбувається, малваре підміняє адресу гаманця або URL на адресу або посилання, що належать зловмисникам. Список підтримуваних криптовалюта, браузерів і так далі можна побачити нижче, на скріншоті рекламного оголошення.
В даний час дослідники ще не визначили, як саме поширюється Evrial, але, за даними MalwareHunterTeam, троян продається на російськомовних андеграундних ресурсах за ціною 1500 рублів. За цю суму покупець отримує доступ до веб-панелі, де може конфігурувати малваре за потрібне йому чином: вибрати адреси та посилання для заміни, а також відстежувати підміни, вже здійснені шкідливий.
Так, виявляючи придатну для підміни рядок, Evrial зв'язується з віддаленим сервером і завантажує її туди, а у відповідь отримує нову послідовність, яку потрібно підставити в буфер користувача.
Але однієї тільки підміною даних в буфері обміну справа не обходиться. Також Evrial викрадає дані про кріптовалютних гаманцях (файли wallet.dat), збережені на пристрої паролі (зокрема з браузерів Chrome, Yandex, Orbitum, Opera, Amigo, Torch і Comodo, а також паролі, що зберігаються в Pidgin і Filezilla), документацію, і робить знімки активних вікон жертви. Вся ця інформація упаковується в архів (ZIP) і завантажується на керуючий сервер. Переглянути вкрадені дані можна прямо з панелі управління малваре.
