Recentemente è stato scoperto un virus Trojan che prende il nome di Evrial. Questo, all’apparenza, comunissimo malware è in grado di monitorare gli appunti di Windows alla ricerca degli indirizzi legati ai portafogli delle criptovalute. Quando trova quello che cerca, chi ha mandato in azione Evrial, prende il controllo del portafoglio virtuale. Al momento riconosce gli indirizzi per quelli dedicati a Bitcoin, Litecoin, Monero, WebMobney, QIWbI e persino gli URL usati per scambi degli oggetti che avvengono su Steam.
In vendita come un normalissimo programma
Questo Trojan è stato trovato in vendita su una piattaforma russa dedicata all’hacking per soli 27 dollari americani. Il tutto è venduto come un pacchetto completo di malware-as-a-service (MaaS). L’acquirente deve solo accedere all’interfaccia web dedicata per costruire il proprio file eseguibile trojan che verrà usato poi per rubare le informazioni dalle macchine infette.
Una volta che, per un motivo come per un altro, il virus si insedia su una macchina in cui gira Windows, Evrial inizia subito a monitorare gli Appunti del sistema operativo alla ricerca di tutto ciò che assomiglia a un indirizzo che si collega alle criptovalute. Gli indirizzi dei portafogli di queste particolari valute sono delle lunghe stringhe di caratteri. Molte persone per risparmiare tempo durante le transazioni fanno semplicemente copia/incolla con questi codici e facendolo quest’ultimi vengono salvati, appunto, negli appunti. Una volta preso quello che cercava, il codice viene caricato sull’interfaccia web del virus dando così l’accesso al malintenzionato.
Oltre agli appunti prende di mira anche i portafogli di Bitcoin memorizzati sulla macchina e ruba le credenziali nei Broswer Web Chrome, Yandex, Orbitum, Opera, Amigo, Torch e Comodo. Inoltre ruba cookie e file formattati come doc, docx, txt e log.
Non si conosce ancora cosa usa come vettore per infettare le macchine e al momento molti antivirus non riescono a riconoscere tale virus. L’unica soluzione è stare attenti, come sempre.