Breaking News

พบโทรจัน Evrial สามารถสับเปลี่ยนที่อยู่เงินดิจิทัลถูกขายในเว็บใต้ดิน

นักวิจัยจาก MalwareHunterTeam และ Guido Not CISSP ได้พบโทรจัน Evrial สามารถขโมย Cookies และเก็บ Credential การใช้งานของ Browser ได้ อีกทั้งยังสามารถค้าหาข้อความใน Windows Clipboard อย่างเฉพาะเจาะจงและแก้ไขข้อความเหล่านั้นได้ ด้วยเหตุนี้เองทำให้แฮ็กเกอร์นำ Evrial ไปใช้เปลี่ยนที่อยู่การจ่ายเงินและ URLs เพื่อขโมยการจ่ายเงินของ Cryptocurrency หรือการซื้อขายใน Steam ได้

credit : Bleeping Computer

มีรายงานว่า Evrial กำลังถูกขายในทอดตลาดในกลุ่มอาชญากรรัสเซียสนนราคาที่ประมาณ $27 USD เท่านั้น โดยข้อความโฆษณาการขายคือเมื่อซื้อไปแล้วผู้โจมตีสามารถใช้งานผ่าน Web Panel ที่อนุญาตให้ผู้โจมตีทำการปฏิบัติการต่างๆ เช่น สามารถติดตามการเปลี่ยนแปลงของ Clipboard และตั้งค่าการแก้ไขคำที่สนใจ ชมภาพการโฆษณาได้ตามด้านบน

ความสามารถควบคุม Windows Clipboard 

Evrial สามารถติดตาม Windows Clipboard (ชุดของฟังก์ชันและข้อความที่ให้แอปพลิเคชันใช้ส่งข้อมูลหากันหรือภายในแอปพลิเคชันเองก็ตาม) เพื่อหาข้อความที่สนใจและแทนที่ข้อความเหล่านั้นได้ นี่เองทำให้แฮ็กเกอร์สามารถเปลี่ยนเส้นทางการจ่ายเงินของ Crytocurrency ไปยังที่ๆ แฮ็กเกอร์ต้องการได้ การใช้งาน Clipboard ในการเปลี่ยนที่อยู่กระเป๋าเงินนั้นได้ผลเพราะปกติแล้วที่อยู่กระเป๋าเงินอย่าง Bitcoin นั้นประกอบด้วยตัวอักษรยาวๆ ยากต่อการพิมพ์ดังนั้นในการแลกเปลี่ยน Bitcoin ผู้ใช้จึงนิยมคัดลอกที่อยู่ปลายทางไปไว้ใน Clipboard ก่อนแล้วจึงนำไปใช้ต่อในแอปพลิเคชันหรือไซต์ที่ต้องการต่อไป

ดังนั้น Evrial จะคอยค้นหาที่อยู่ Bitcoin ใน Clipboard หากตรวจพบมันก็เปลี่ยนเป็นที่อยู่ของผู้โจมตี จากนั้นเหยื่อก็นำที่อยู่นั้นโอนเงินให้แฮ็กเกอร์อย่างไม่มีข้อสงสัยใดๆ โดย Evrial นั้นรองรับการค้นหาข้อความที่เกี่ยวพันกับ Bitcoin, Litecoin, Monero, WebMoney, Qiwi และ URLs การแลกเปลี่ยนของ Steam สามารถดูโค้ดได้ตามภาพด้านล่าง

ความสามารถขโมยรหัสผ่านและเอกสาร

Evrial สามารถขโมยกระเป๋าเงิน Bitcoin เก็บรหัสผ่าน เก็บเอกสารในเครื่องเหยื่อ และเก็บภาพหน้าจอของ Windows ที่กำลังใช้งานได้ด้วย โดยข้อมูลทั้งหมดนี้จะถูกเก็บเป็นไฟล์ Zip และส่งกลับไปหาผู้โจมตีได้ตามภาพด้านล่าง

ภาพแสดงโค้ดการค้าหาพิกัด Wallet.dat ของ Bitcoin ภายใน Registry หากมี Key อยู่มันจะสามารถเข้าถึง Bitcoin ของเหยื่อได้

ภาพแสดงโค้ดการขโมย Credentials ใน Browser ต่างๆ เช่น Chrome, Yandex, Orbitum, Opera, Amigo, Torch และ Comodo

อย่างไรก็ตามยังไม่เป็นที่แน่ชัดว่า Evrial ถูกเผยแพร่ไปมากแค่ไหนแล้ว ดังนั้นวิธีการป้องกันที่ทำได้ในตอนนี้คือหาซอฟต์แวร์รักษาความมั่นคงปลอดภัยดีๆ มาใช้เพื่อปกป้องตัวเองพร้อมทั้งฝึกนิสัยการใช้คอมพิวเตอร์อย่างมั่นคงปลอดภัย

ที่มา : https://www.bleepingcomputer.com/news/security/evrial-trojan-switches-bitcoin-addresses-copied-to-windows-clipboard/

 


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Sophos ปล่อยฟรีผลิตภัณฑ์ Sandboxie พร้อมเปิดโอเพ่นซอร์ส

Sandboxie เป็นหนึ่งในผลิตภัณฑ์ส่วน Commercial ของ Sophos ซึ่งเมื่อไม่กี่วันที่แล้วได้มีการตัดสินใจปล่อยให้ดาวน์โหลดได้ฟรี พร้อมประกาศเปิดเป็นโอเพ่นซอร์สในทุกฟีเจอร์แบบไม่มีกั๊ก

Malwarebytes ออก Extension ฟรี ช่วยผู้ใช้งาน Chrome และ Firefox เข้าเว็บอย่างปลอดภัย

Malwarebytes ได้ออก Browser Extension สำหรับผู้ใช้งาน Chrome และ Firefox เพื่อให้สามารถเข้าเว็บต่างๆ ได้อย่างมั่นคงปลอดภัย ทั้งหมดนี้ฟรีไม่มีค่าใช้จ่าย