Las amenazas de seguridad informática parecen modernizarse constantemente junto con las nuevas herramientas tecnológicas. Cada vez resultan más sofisticadas estas herramientas capaces de robar criptomonedas con los métodos más sorprendentes.
Según trascienden las informaciones, un virus del tipo troyano llamado Evrial tiene la capacidad de modificar el portapapeles de Windows a su conveniencia, logrando sustituir una dirección de bitcoin copiada por otra propiedad del hacker.
De esta forma, si un usario copia una dirección a la cual desea enviar bitcoins, el virus la sustituye y el usuario terminará enviando las criptomonedas a la dirección provista por el hacker. Sin duda, un método ingenioso para robar criptomonedas. Evrial, descubierto por investigadores del MalwareHunterTeam y el grupo Guido Not CISSP, tiene además la capacidad de robar los cookies y credenciales de exploradores de internet.
Según especifican los investigadores, el virus se encuentra a la venta en foros clandestinos de internet por 1,500 rublos rusos, equivalentes a $27 dólares americanos. Los vendedores aseguran que al comprar el producto se permite que un atacante acceda a un panel web para construir un archivo ejecutable en el que puede rastrearse y modificarse la información contenida en el portapapeles de Windows.
Fresh Evrial sample (at 8/67): https://t.co/ClNOvw2GbS
Interesting that previous versions had 20-30 (or more after some time on VT) detections, with only 2 features. Now it has all the features from Reborn Stealer (previously Ovidiy), and now it's under 10…
????@malwareforme— MalwareHunterTeam (@malwrhunterteam) 16 de enero de 2018
Los expertos de seguridad aseguran a BleepingComputer que este método resulta diferente a otros programas maliciosos que ejecutan tareas similares. Evrial tiene la capacidad de identificar cuándo y cómo sustituir determinada información por otra, sin ejecutar el cambio siempre que el usuario realice una copia de información.
Evrial detecta cuándo una dirección de bitcoin está copiada en el portapapeles, para proceder luego a sustituirla por una dirección que esté bajo dominio del atacante. Sin embargo, el virus logra pegar esta información en otra aplicación diferente, por lo que resulta más complejo, afirman.
Generalmente, cuando un usuario copia de un lugar una dirección de cartera bitcoin es para pegarla en otra aplicación. Este puente logra ser cruzado con éxito por Evrial, permitiéndo que si una dirección bitcoin se copia desde un servicio de mensajería, por ejemplo, se pegue idénticamente en la casilla de una casa de cambio online o de una cartera de escritorio. El virus puede detectar las direcciones de Bitcoin, Litecoin, Monero y los servicios Qiwi y Steam y sustituirlas por otra provista desde un sitio remoto al que se conecta vía internet.
Evrial es tan peligroso que puede robar credenciales y contraseñas, guardando el potencial de robar carteras de criptomonedas y documentos del usuario, así como lograr hacer y enviar capturas de pantalla a los atacantes. Los navegadores de internet que Evrial intenta atacar son Chrome, Yandex, Orbitum, Opera, Amigo, Torch y Comodo.
Hasta el momento se desconoce cómo es distribuido este virus, pero los investigadores sugieren seguir los mecanismos de seguridad informática convencionales, tales como no guardar las contraseñas de carteras de criptomonedas en el mismo dispositivo, no realizar descargas desde servidores no certificados o desconocidos, además de contar con un software antivirus para así lograr rechazar cualquier ataque.
