Однако, Evrial довольно разборчив. Он внимательно отслеживает появление в буфере адресов криптовалютных кошельков или URL предложения обмена Steam, а затем заменяет адрес кошелька или URL на адрес или ссылку, принадлежащие злоумышленникам.
![Изображение: MalwareHunterTeam Изображение: MalwareHunterTeam](https://resizer.mail.ru/p/a5278abd-1e3f-5bca-b36e-9bb7ff0db05d/AQAK1iGxJ5nxHjVeuxRJs_UKcVHRzNLa16H1gvIL0GH4joCuEZF9F3pAYRQB8KF6LfDREZPE2iJ0dKYPeqYi9Sozz1s.jpg)
Для этого Evrial загружает найденную информацию на удаленный сервер, а в ответ получает новую последовательность, которую нужно подставить в буфер пользователя. Троян работает со следующими криптовалютами и браузерами:
![Изображение: MalwareHunterTeam Изображение: MalwareHunterTeam](https://resizer.mail.ru/p/6c7b9b0e-2a28-50ea-a3e2-e1f6c48f3078/AQAKcnWnEk6YY9J2tcYqou6mGpsp9Pg57wCE8iqKCKwNZSNjCpXygrdZcnRQId9gqs_aGwWEsiAN9AT1ds8kVwcOYHg.jpg)
Эксперты сообщают что, троян продается на русскоязычных даркнет-ресурсах всего за 1500 рублей. За эту сумму покупатель получает широкий набор инструментов для осуществления противоправной деятельности. Как распространяется троян, пока не известно.
Кроме того, Evrial похищает данные о криптовалютных кошельках, сохраненные на устройстве пароли (например, из браузеров Chrome, Yandex, Orbitum, Opera, Amigo, Torch и Comodo), документацию, а также делает снимки активных окон жертвы.
![Изображение: MalwareHunterTeam Изображение: MalwareHunterTeam](https://resizer.mail.ru/p/f61e4c69-cd03-5c0d-aba2-7ed196c60ffa/AQAKgvRMqb-zlaFD1XblDhCHsVoPx-tLyNZkpjGoCfj3ycdsPuXhGDs_zApZ5lZRDPLIQqFDjekgVP7blRVV0B_CVG4.jpg)
Вся похищенная информация аккуратно упаковывается в ZIP-архив и отправляется на сервер злоумышленников. Просмотреть украденные данные можно прямо из панели управления трояном, сообщают эксперты.