信息窃取Evrial木马正在犯罪论坛上出售，并在野外积极分发。 像大多数信息窃取木马，Evrial可以窃取浏览器cookie和存储的凭据，同时这个木马还可以监视某些文本的Windows剪贴板，如果检测到，可以按需修改它的内容。

Evrial木马信息窃取功能日益强大 但只有几个病毒引擎能检测到它

安全研究人员MalwareHunterTeam  和  Guido Not CISSP首先发现并追踪到Evrial木马，Evrial使攻击者可以通过监视某些字符串的Windows剪贴板，轻松劫持数字货币付款和Steam交易，而技术方面非常简单，就是用攻击者设置好的地址，替换合法的支付地址和URL来完成的。

在犯罪论坛只需要27美元就可以买到Evrial木马

根据MalwareHunterTeam称，Evrial目前正在俄罗斯的犯罪论坛上以1500卢布或者27美元的价格出售。 在广告中，卖方声明，购买产品后，攻击者可以访问一个网页面板，在这里他们可以生成一个可执行文件。 此Web面板还可以设置剪贴板的修改情况，并允许攻击者配置应使用哪些替换字符串。

在广告中，售卖者展示了Evrial木马的Web控制面板屏幕截图，如下所示。

Evrial可以监控并修改Windows剪贴板内容 半路截胡

Evrial最有趣的功能是它将监视某些类型的字符串的Windows剪贴板，并将其替换为攻击者发送的字符串。 这使攻击者可以将一个数字货币付款重新路由到他们控制的地址。 尽管剪贴板监控在这类程序中很常见，但MalwareHunterTeam已经告诉外媒，具有修改功能的不太多见。

例如，用户在在程序或网站输入的比特币地址都非常复杂，当有人向交换机或钱包发送比特币时，他们通常会将应发送到的地址复制到Windows剪贴板中，然后将该地址粘贴到正在执行发送的其他应用程序或站点中。

当Evrial在剪贴板中检测到一个比特币地址时，它会用攻击者控制下的一个合法地址替换该合法地址。 受害者然后将该地址粘贴到他们的应用程序，认为它的合法的，并没有意识到其被取代，并点击发送。 现在，当比特币被发送时，他们会转到攻击者的地址，而不是您想要的收件人。

Evrial可以检测的数字货币地址包括比特币、Litecoin、门罗币Monero、WebMoney、Qiwi地址，以及Steam商品交易网址的字符串。

当Evrial检测到剪贴板中支持的字符串之一时，它会连接到远程站点，上传原始字符串，然后下载一个字符串作为替换。

由于字符串现在已经被剪贴板替换，当受害者执行粘贴到程序中时，攻击者的字符串将被使用。

Evrial可以窃取密码文件可以截屏还可以窃取浏览器凭据及Cookie

除了监控和修改剪贴板之外，Evrial还会窃取比特币钱包，存储密码，受害者桌面上的文档以及活动窗口的屏幕截图。所有这些信息将被编译成zip文件并上传到攻击者的web面板，如下所示。

Evrial将通过查询注册表项，来确定Bitcoin的wallet.dat文件的位置。 如果密钥存在，它就会窃取该钱包，以便能够访问受害者的比特币。

Evrial也将尝试窃取浏览器中存储的凭据。 Evrial能窃取的浏览器包括Chrome、Yandex、Orbitum、Opera、Amigo、Torch和Comodo。

Evrial也将尝试窃取存储在Pidgin和Filezilla中的凭据。

最后Evrial还可以窃取cookies，以及你放在桌面上的文件。

所有这些数据以及活动窗口的屏幕截图都将被上传到远程服务器，以便攻击者可以访问它。

如何保护自己免受Evrial木马攻击

目前还没有完全知道Evrial木马是如何传播的，但保护自己的最好方法是形成良好的使用习惯。 确保您已经安装了安全软件，使用VirusTotal等网站扫描您收到的附件，并确保您保持良好的安全意识。

（文章原标题：信息窃取Evrial木马来袭 能替换剪贴板内容赚比特币 只要27美元 作者：bleepingcomputer）

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。