พบโทรจัน Evrial สามารถสับเปลี่ยนที่อยู่เงินดิจิทัลถูกขายในเว็บใต้ดิน

นักวิจัยจาก MalwareHunterTeam และ Guido Not CISSP ได้พบโทรจัน Evrial สามารถขโมย Cookies และเก็บ Credential การใช้งานของ Browser ได้ อีกทั้งยังสามารถค้าหาข้อความใน Windows Clipboard อย่างเฉพาะเจาะจงและแก้ไขข้อความเหล่านั้นได้ ด้วยเหตุนี้เองทำให้แฮ็กเกอร์นำ Evrial ไปใช้เปลี่ยนที่อยู่การจ่ายเงินและ URLs เพื่อขโมยการจ่ายเงินของ Cryptocurrency หรือการซื้อขายใน Steam ได้

credit : Bleeping Computer

มีรายงานว่า Evrial กำลังถูกขายในทอดตลาดในกลุ่มอาชญากรรัสเซียสนนราคาที่ประมาณ $27 USD เท่านั้น โดยข้อความโฆษณาการขายคือเมื่อซื้อไปแล้วผู้โจมตีสามารถใช้งานผ่าน Web Panel ที่อนุญาตให้ผู้โจมตีทำการปฏิบัติการต่างๆ เช่น สามารถติดตามการเปลี่ยนแปลงของ Clipboard และตั้งค่าการแก้ไขคำที่สนใจ ชมภาพการโฆษณาได้ตามด้านบน

ความสามารถควบคุม Windows Clipboard 

Evrial สามารถติดตาม Windows Clipboard (ชุดของฟังก์ชันและข้อความที่ให้แอปพลิเคชันใช้ส่งข้อมูลหากันหรือภายในแอปพลิเคชันเองก็ตาม) เพื่อหาข้อความที่สนใจและแทนที่ข้อความเหล่านั้นได้ นี่เองทำให้แฮ็กเกอร์สามารถเปลี่ยนเส้นทางการจ่ายเงินของ Crytocurrency ไปยังที่ๆ แฮ็กเกอร์ต้องการได้ การใช้งาน Clipboard ในการเปลี่ยนที่อยู่กระเป๋าเงินนั้นได้ผลเพราะปกติแล้วที่อยู่กระเป๋าเงินอย่าง Bitcoin นั้นประกอบด้วยตัวอักษรยาวๆ ยากต่อการพิมพ์ดังนั้นในการแลกเปลี่ยน Bitcoin ผู้ใช้จึงนิยมคัดลอกที่อยู่ปลายทางไปไว้ใน Clipboard ก่อนแล้วจึงนำไปใช้ต่อในแอปพลิเคชันหรือไซต์ที่ต้องการต่อไป

ดังนั้น Evrial จะคอยค้นหาที่อยู่ Bitcoin ใน Clipboard หากตรวจพบมันก็เปลี่ยนเป็นที่อยู่ของผู้โจมตี จากนั้นเหยื่อก็นำที่อยู่นั้นโอนเงินให้แฮ็กเกอร์อย่างไม่มีข้อสงสัยใดๆ โดย Evrial นั้นรองรับการค้นหาข้อความที่เกี่ยวพันกับ Bitcoin, Litecoin, Monero, WebMoney, Qiwi และ URLs การแลกเปลี่ยนของ Steam สามารถดูโค้ดได้ตามภาพด้านล่าง

ความสามารถขโมยรหัสผ่านและเอกสาร

Evrial สามารถขโมยกระเป๋าเงิน Bitcoin เก็บรหัสผ่าน เก็บเอกสารในเครื่องเหยื่อ และเก็บภาพหน้าจอของ Windows ที่กำลังใช้งานได้ด้วย โดยข้อมูลทั้งหมดนี้จะถูกเก็บเป็นไฟล์ Zip และส่งกลับไปหาผู้โจมตีได้ตามภาพด้านล่าง

ภาพแสดงโค้ดการค้าหาพิกัด Wallet.dat ของ Bitcoin ภายใน Registry หากมี Key อยู่มันจะสามารถเข้าถึง Bitcoin ของเหยื่อได้

ภาพแสดงโค้ดการขโมย Credentials ใน Browser ต่างๆ เช่น Chrome, Yandex, Orbitum, Opera, Amigo, Torch และ Comodo

อย่างไรก็ตามยังไม่เป็นที่แน่ชัดว่า Evrial ถูกเผยแพร่ไปมากแค่ไหนแล้ว ดังนั้นวิธีการป้องกันที่ทำได้ในตอนนี้คือหาซอฟต์แวร์รักษาความมั่นคงปลอดภัยดีๆ มาใช้เพื่อปกป้องตัวเองพร้อมทั้งฝึกนิสัยการใช้คอมพิวเตอร์อย่างมั่นคงปลอดภัย

ที่มา : https://www.bleepingcomputer.com/news/security/evrial-trojan-switches-bitcoin-addresses-copied-to-windows-clipboard/

 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เสริม Security ให้ระบบเครือข่ายด้วย AI กับ Aruba IntroSpect

หนึ่งในเทรนด์หลักทางด้าน Network ในระยะนี้ก็คงหนีไม่พ้นเรื่องของการประยุกต์นำศาสตร์ทางด้าน Artificial Intelligence หรือ AI มาใช้ในแง่มุมต่างๆ ภายในระบบเครือข่าย Aruba Networks ในฐานะของผู้นำเทคโนโลยีเครือข่ายสำหรับองค์กรเองก็ไม่พลาดที่จะขึ้นเป็นผู้นำเทรนด์นี้ ด้วยการนำ AI เข้ามาใช้เพื่อเสริม Security ให้กับระบบเครือข่ายของธุรกิจองค์กรให้รัดกุมยิ่งขึ้น ภายใต้โซลูชัน Aruba IntroSpect ที่วิเคราะห์ข้อมูลจากทั้ง Traffic ในระบบเครือข่ายและผู้ใช้งานไปพร้อมๆ กัน

สัมภาษณ์พิเศษผู้บริหาร Digitalcom : แนวโน้มของตลาดกล้องวงจรปิดในปัจจุบัน

อุปกรณ์กล้องวงจรปิดถือเป็นหนึ่งในโซลูชันด้านความมั่นคงปลอดภัยเชิงกายภาพที่ โรงงาน องค์กร และห้างร้าน จะขาดเสียไม่ได้ อย่างไรก็ตามปัจจุบันก็มีแบรนด์ต่างๆ เกิดขึ้นมาให้เราเลือกอย่างมากมาย แต่เราจะมั่นใจได้อย่างไรว่าอุปกรณ์นั้นจะใช้ได้จริงไม่กลายเป็นกล้อง Dummy คุณภาพการถ่ายเวลากลางคืนเป็นอย่างไร หรือแม้กระทั่งบริการหลังการขาย โดยเมื่อไม่กี่วันที่ผ่านมาทางทีมงาน TechTalkThai ได้รับเกียรติจาก Digitalcom …