Evrial木馬誕生：針對虛擬貨幣，可監視並替換交易位址

在礦潮迎來第二春的時候，除了礦工們瘋狂購入顯卡導致漲價的新聞外，還有一個安全資訊值得我們關注，據Bleepingcomputer報導，安全研究團隊MarlwareHunterTeam和Guido Not Cissp發現了一款名為Evrial的木馬，它可以監視Windows中某些文本的剪貼簿，並替換剪貼簿內容，盜取使用者資訊，特別是加密貨幣和Steam交易的支付位址和URL。

圖片來源

這款Evrial目前正在俄羅斯的一個駭客論壇上出售，賣家聲稱在購買產品後使用者（之後就變駭客了）可以連結一個網頁、下載一個相關程式，這個程式可以對目標的剪貼簿的內容進行監視，並允許駭客自訂替換字元。儘管監視剪貼簿這種功能很常見，但將內容進行修改就很罕見了。

檢測剪貼簿資訊

替換剪貼簿信息

Evrial現在可對Bitcoin，Litecoin，Monero，WebMoney，Qiwi位址和Steam交易位址進行修改，當Evrial檢測到剪貼簿中含有以上位址的字串後，它會連接到遠端位址，上傳原有字串，然後下載一個字串作為替換，這一切都是悄無聲息進行的，受害者很難意識到自己的位址被偷偷地替換掉。

web地址

除了監控和修改功能外，Evrial還可以竊取比特幣錢包密碼，對目標桌面和使用中視窗截圖，相關資訊都被被打包成zip檔然後上傳到攻擊者的web位址中。首先Evrial會掃描註冊表並確認比特幣錢包wallet.dat檔的位置，如果有金鑰，它就會盜取比特幣錢包。

找出wallet.dat位置

目前有關Evrial的傳播方式還沒搞清楚，Bleepingcomputer建議用戶養成良好的上網習慣，安裝安全軟體避免被Evrial感染。

資料來源