Malware vervangt bitcoinadres in Windows-klembord

      Reacties uitgeschakeld voor Malware vervangt bitcoinadres in Windows-klembord

Beveiligingsonderzoekers hebben een Windows-trojan met de naam Evrial gevonden, die onder meer een bitcoinadres in het Windows-klembord kan vervangen door een ander adres. De malware zou verkocht worden op Russische hackerforums.

MalwareHunterTeam, dat de malware ontdekte, zegt dat het verschil met varianten die soortgelijke functionaliteit bezaten is, dat dit exemplaar tot meer in staat is en dat het de adressen inlaadt vanuit een command and control-server. Ook zou het aanpassen van het adres niet beperkt zijn tot alleen bitcoinadressen, maar zou de functie zich uitstrekken tot altcoins en trade-links in Steam. Het idee achter de functie is dat een slachtoffer met een geïnfecteerd systeem bijvoorbeeld een bedrag naar een cryptocurrency-adres wil doen en daarvoor het adres kopieert. Als het aangepaste adres vervolgens vanuit het klembord wordt geplakt, komt de overboeking bij de aanvaller terecht.

Het team zegt tegen Bleeping Computer dat de malware wordt verkocht op Russiche hackerforums voor een bedrag van 27 dollar. Het is niet duidelijk hoe de verspreiding van de kwaadaardige software plaatsvindt. Evrial is verder in staat tot meer handelingen, zoals het stelen van documenten en wallets of het uploaden van screenshots. Volgens MalwareHunterTeam wordt de kwaadaardige software door ongeveer een derde van de antivirusproducten op VirusTotal herkend. Het is mogelijk dat het er inmiddels meer zijn.

Het succes van de methode van het aanpassen van het klembord is onduidelijk. Een eerdere variant met soortgelijke functionaliteit, genaamd CryptoShuffler en ontdekt door Kaspersky, haalde volgens het bedrijf rond de 140.000 dollar in bitcoins binnen in de loop van een jaar, rekening houdend met de bitcoinprijs van oktober van vorig jaar.