Een nieuwe vorm van malware zorgt ervoor dat je cryptomunten verkeerdelijk naar de portefeuille van een cybercrimineel stuurt. Dat ontdekten onderzoekers van MalwareHunterTeam.
Evrial is de naam van een Trojaans paard die de adressen van verschillende cryptomunten in het klembord van je Windows-pc detecteert. Vervolgens kan de malware het gekopieerde adres van een cryptoportefeuille vervangen door een andere URL. Op die manier slagen cybercriminelen erin om transacties ongewild naar hun rekening over te brengen.
Volgens de onderzoekers van MalwareHunterTeam is Evrial in staat om de adressen te herkennen van cryptomunten zoals: Bitcoin, Litecoin, Monero, WebMoney en Qiwi. Daarnaast herkent het ook activatielinks van spellen op Steam. De nieuwe Trojan zou momenteel te koop worden aangeboden via verschillende criminele Russische internetfora.
Gehackte screenshotfunctie
Naast het vervangen van URL’s kan Evrial zelfs uiteindelijk je bitcoinportefeuille overnemen. Het doet dat op twee verschillende manieren: enerzijds kan de malware op zoek gaan naar ‘wallet.dat’-bestanden in het register van Windows, en daarnaast kan het je gegevens achterhalen via de browserdata van onder andere Chrome en Opera.
De malware bevat volgens MalwareHunterTeam ook functies die niet direct gerelateerd zijn aan crypromunten. Evrial kan bijvoorbeeld de controle overnemen van de screenshotfunctie van Windows. Zo probeert de Trojan om opgeslagen wachtwoorden en documenten te bemachtigen. Vervolgens uploadt hij dan alle bestanden netjes in een zip-bestand naar de webinterface van een kwaadwillige.
MalwareHunterTeam heeft geen zicht op het aantal apparaten die al getroffen zijn door de malware.Dat komt omdat de onderzoekers ook nog niet helemaal hebben achterhaald op welke verschillende manieren de Trojan precies wordt verspreid.
