Bitcoin: Scoperto un nuovo virus che modifica gli indirizzi

Le minacce alla sicurezza informatica sembrano essere in crescita costante mano a mano che si aggiornano i nuovi strumenti tecnologici. Stanno nascendo modalità sempre più sofisticate di attacchi in grado di rubare anche le criptovalute degli utenti. Gli stratagemmi utilizzati sono spesso nuovi e sorprendenti.

Evrial: subdolo e pericoloso

Per citare un esempio, un virus di tipo Trojan, chiamato Evrial, ha la possibilità di modificare gli appunti di Windows a propria discrezione, sostituendo un indirizzo Bitcoin che è stato copiato con un indirizzo diverso, appartenente al pirata informatico.

In questo modo, se un utente copia un indirizzo a cui vuole inviare Bitcoin, il virus lo sostituisce e l’utente finirà per inviare le criptovalute all’indirizzo fornito dall’hacker. Evrial, scoperto dai ricercatori di Malware HunterTeam e del gruppo Guido Not CISSP, ha anche la possibilità di rubare i cookie e le credenziali del browser.

Secondo i ricercatori, il virus si troverebbe in vendita in forum clandestini per 1.500 rubli russi, pari a $27 dollari USA. Al momento dell’acquisto del prodotto, un aggressore può accedere a un pannello web per creare un file eseguibile in cui le informazioni contenute negli appunti di Windows possono essere tracciate e modificate.

Gli esperti di sicurezza hanno sostenuto su BleepingComputer che questo metodo è diverso da altri programmi dannosi che eseguono attività simili. Evrial ha la capacità di identificare quando e come sostituire alcune informazioni con altre, senza eseguire la modifica ogni volta che l’utente fa una copia delle informazioni.

Come agisce il virus

Evrial rileva quando un indirizzo Bitcoin viene copiato negli appunti e lo sostituisce con un indirizzo che si trova sotto il controllo dell’hacker. A complicare il quadro, contribuisce il fatto che il virus è in grado di incollare queste informazioni in un’applicazione diversa, rendendo più difficile la sua scoperta.

Di solito, quando un utente copia  un indirizzo tratto da un e-wallet Bitcoin da una posizione specifica, è costretto ad incollarlo in un’altra applicazione. Questo passaggio viene intercettato con successo da Evrial, permettendo ad un indirizzo Bitcoin di essere copiato da un servizio di messaggistica, per essere incollato nella casella di un exchange o di un e-wallet. Il virus può rilevare gli indirizzi di Bitcoin, Litecoin, Monero e i servizi Qiwi e Steam e sostituirli con un indirizzo fornito da un sito remoto a cui si connette via Internet.

Evrial è così pericoloso che può rubare credenziali e password, riuscendo a rubare dati sensibili di e-wallet di criptovalute e di altri documenti privati degli utenti, inviando degli screenshot agli aggressori. I browser che Evrial cerca di attaccare sono Chrome, Yandex, Orbitum, Opera, Amigo, Torcia e Comodo.

Finora, non si è ancora scoperto come questo virus venga distribuito, ma i ricercatori suggeriscono di mettere in campo alcune procedure elementari di sicurezza informatica, come il non memorizzare le password degli e-wallet nello stesso dispositivo, non scaricare file da server non certificati o sconosciuti, e avere software antivirus aggiornati per prevenire qualsiasi attacco.