• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar
24 enero
Evrial: el nuevo troyano que controla el portapapeles de Windows

El troyano supervisa el portapapeles de Windows para ciertos tipos de cadenas y las suplanta por las enviadas por el cibercriminal.

Últimamente es muy común el término “troyano”. En este caso, estamos hablando de Evrial. Se caracteriza por robar las cookies del navegador y las credenciales almacenadas. A su vez, tiene la capacidad de controlar el portapapeles de Windows para determinado texto y, si se detecta, modificarlo a otra cosa.

Este nuevo troyano ha sido descubierto y rastreado por los investigadores de seguridad, MalwareHunterTeam y Guido Not CISSP. Lo lograron al monitorear el portapapeles de Windows para ciertas cadenas. Evrial hace que sea fácil para los atacantes secuestrar los pagos de criptomonedas y los intercambios de Steam. Esto se hace reemplazando direcciones de pago legítimas y URL con direcciones bajo el control del atacante.

De acuerdo con lo que dice MalwareHunterTeam, Evrial actualmente se vende en foros criminales rusos por 1.500 rublos, que equivale a unos 25 euros. En el anuncio, el vendedor declara que después de comprar el producto, un atacante obtiene acceso a un panel web que les permite construir un ejecutable. Este panel web también realiza un seguimiento de las modificaciones realizadas en el portapapeles y permite que un ciberatacante configure qué cadenas de reemplazo se deben usar.

Un aspecto esencial de Evrial es que supervisa el portapapeles de Windows para ciertos tipos de cadenas y las suplanta por las enviadas por el cibercriminal. Esto les genera la posibilidad de redirigir un pago de criptomoneda a una dirección bajo su control.

En el momento en que Evrial detecta una dirección de Bitcoin en el portapapeles, reemplaza esa dirección legítima con otra, bajo el control del atacante. El usuario luego pega esa dirección en su aplicación, pensando que es la original, sin darse cuenta de que ha sido modificada, y hace clic para enviar. Pero cuando se envían los Bitcoins, se dirigen a la dirección del atacante en lugar de a su destinatario.

El troyano se encuentra configurado para detectar cadenas que corresponden a Bitcoin, Litecoin, Monero, WebMoney, direcciones Qiwi y URLs de artículos de Steam.

Además de monitorear y modificar el portapapeles, Evrial también posee la capacidad de robar contraseñas almacenadas, documentos del escritorio de la víctima y una captura de pantalla de las ventanas activas. Toda esta información se guardará en un archivo .zip y será cargado en el panel web de los atacantes.

Evrial también intentará hurtar credenciales almacenadas en los navegadores. Los navegadores objetivos de este troyano incluyen tanto Chrome -el más utilizado por los usuarios- como así también otros, por ejemplo: Opera.

No se sabe concretamente cómo se está distribuyendo Evrial, pero la mejor manera de protegerse es siempre contar con un software de seguridad y tener cuidado con los archivos adjuntos.

Referencia:

www.redeszone.net/2018/01/22/evrial-troyano-portapapeles-windows/

Tu opinión nos ayuda a seguir creciendo.

Seleccioná la cantidad de estrellas que consideres apropiada.

BA-CSIRT, ¿cómo reportar un indicente de ciberseguridad?