Um novo malware chamado stealthy .NET foi descoberto com funcionalidades sofisticada que rouba Bitcoin, ele usa a área de transferência para assumir o controle e modificar o endereço cryptocoin.

Inicialmente essa funcionalidade foi descoberto no final de 2017 com o malware chamado Cryptoshuffle e mais tarde os cibercriminosos mudaram seu nome para Evrial e começaram a vender na mesma plataforma.

Evrial é uma malware baseado em .NET que foi desenvolvido para roubar senhas de navegadores, clientes FTP, Pidgin além Bitcoin.

O malware fica verificando tudo que está acontecendo na área de transferência. Se as vítimas copiarem, por exemplo, um endereço Bitcoin ou Litecoin, ele é rapidamente substituído por outro, na hora e dinamicamente (o endereço ew é solicitado para um servidor).

Imagem: Painel de controle utilizado pelo invasor para anunciar o malware e pelos compradores para administrar.

Como este malware .NET rouba Bitcoin

Uma vez que a vítima é infectada, todas as vezes que uma carteira de Bitcoin é copiada para de área de transferência pela vítima, uma solicitação é enviada para um servidor específico de propriedade do atacante.

Isso funcionará para as principais criptomoedas como BTC, LTC, ETH, XMR, WMR, WMZ ou Steam. O servidor responderá com um endereço.

De acordo com  elevenpaths ,  digamos quando você quer fazer uma transferência Bitcoin, você costuma copiar e colar o endereço de destino … se ele for trocado “on the fly”,  o atacante espera que o usuário involuntariamente e confiando na ação da área de transferência confirme a transação dá a sua própria carteira.  Esse é o truque.

 

 Além disso, você pode encontrar os detalhes técnicos do malware Evrial neste vídeo.

 

Neste caso, os pesquisadores encontraram várias versões de malware e algumas das versões estão protegidas.

Ele continua funcionando sempre que o computador é iniciado e foi escrito em .NET. Executa uma comunicação do servidor C&C que tira do endereço do servidor do GitHub.

“O próprio autor expõe seu nome de usuário no Telegram: @Qutrachka. A conta está no código-fonte para poder contatá-lo.  Usando essas informações e algumas outras amostras analisadas, foi possível identificar usuários em diferentes fóruns deep web sob o nome de Qutra, cujo principal objetivo é vender esse software malicioso “.  disse elevenpaths

 Fonte: elevenpaths