martes, 23 de enero de 2018

Así es Evrial, el nuevo troyano que controla el portapapeles de Windows


Evrial es un nuevo troyano que roba información. Al igual que la mayoría de los troyanos de este tipo, Evrial puede robar las cookies del navegador y las credenciales almacenadas. Sin embargo este también tiene la capacidad de controlar el portapapeles de Windows para cierto texto, y si se detecta, modificarlo a otra cosa. Es aquí donde reside la peculiaridad principal de este malware que ha sido descubierto recientemente.

Evrial


Ha sido descubierto y rastreado por los investigadores de seguridad MalwareHunterTeam y Guido Not CISSP. Lo lograron al monitorear el portapapeles de Windows para ciertas cadenas. Evrial hace que sea fácil para los atacantes secuestrar los pagos de criptomonedas y los intercambios de Steam. Esto se hace reemplazando direcciones de pago legítimas y URL con direcciones bajo el control del atacante.

Según explican desde MalwareHunterTeam, Evrial actualmente se vende en foros criminales rusos por 1,500 rublos, que equivale a unos 30 martinellis. En el anuncio, el vendedor declara que después de comprar el producto, un atacante obtiene acceso a un panel web que les permite construir un ejecutable. Este panel web también realiza un seguimiento de las modificaciones realizadas en el portapapeles y permite que un ciberdelincuente configure qué cadenas de reemplazo se deben usar.

La característica más interesante de Evrial es que supervisa el portapapeles de Windows para ciertos tipos de cadenas y las reemplaza con las enviadas por el atacante. Esto permite al ciberdelincuente redirigir un pago de criptomoneda a una dirección bajo su control.

Se aprovecha del texto complejo


Por ejemplo, las direcciones de Bitcoin no son la cadena de texto más fácil de escribir en un programa o sitio web. Debido a esto, cuando alguien envía Bitcoins a un exchange o billetera, generalmente copian la dirección a la que se deben enviar las monedas en el portapapeles de Windows y luego pegan esa dirección en la otra aplicación o sitio que está realizando el envío. Como sabemos, estas direcciones son muy largas, con números y letras mezcladas. No es como poner un simple nombre de usuario.

Cuando Evrial detecta una dirección de Bitcoin en el portapapeles, reemplaza esa dirección legítima con una bajo el control del atacante. La víctima luego pega esa dirección en su aplicación, pensando que es la legítima y no se da cuenta de que ha sido reemplazada y hace clic para enviar. Ahora, cuando se envían los Bitcoins, van a la dirección del atacante en lugar de a su destinatario.

Evrial está configurado para detectar cadenas que corresponden a Bitcoin, Litecoin, Monero, WebMoney, direcciones Qiwi y URLs de artículos de Steam.

Contraseñas almacenadas


Además de monitorear y modificar el portapapeles, Evrial también puede robar contraseñas almacenadas, documentos del escritorio de la víctima y una captura de pantalla de las ventanas activas. Toda esta información se compilará en un archivo zip y se cargará en el panel web de los atacantes.

Evrial también intentará robar credenciales almacenadas en los navegadores. Los navegadores objetivos de este troyano incluyen Chrome, el más utilizado por los usuarios, así como Opera.

En este momento no se sabe 100% cómo se está distribuyendo Evrial, pero la mejor manera de protegerse es utilizar el sentido común. Hay que contar también con software de seguridad y tener cuidado con los archivos adjuntos.