天创培训:您身边的信息安全培训专家!
行业动态
SquirtDanger:一款由俄罗斯黑客开发的凭证窃取软件正在全球出售

SquirtDanger:一款由俄罗斯黑客开发的凭证窃取软件正在全球出售

在上周二(4月17日)发布的一份新的研究报告中,Palo Alto Networks公司的 Unit 42威胁研究团队透露,网络犯罪分子正在利用一种新的恶意软件在全球范围内实施网络攻击。根据在攻击活动中检测到的动态链接库文件(SquirtDanger.dll),Unit 42将这个恶意软件名为“SquirtDanger”。

Unit 42表示,SquirtDanger是采用C#(C Sharp,由微软公司发布的一种面向对象的、运行于.NET Framework之上的高级程序设计语言)编写的。允许攻击者实现多种恶意目的,如屏幕截图和窃取存储在浏览器中密码,甚至是窃取加密货币。

对于窃取浏览器密码来说,SquirtDanger支持多种浏览器,包括Chrome、Firefox、Yandex Browser、Kometa、Amigo、Torch和Opera。

对于加密货币来说,SquirtDanger支持多种币种,包括莱特币(Litecoin)、比特币(Bitcoin)、百特币(Bytecoin)、达世币(Dash)、比特币轻量钱包Electrum、以太坊(Ethereum)和门罗币(Monero)。

SquirtDanger窃取加密货币所采用的策略与另一种被命名为“ComboJack”的恶意软件所采用的策略相似,均通过检测目标受害者何时将加密货币钱包地址复制到了Windows剪贴板,并将这个地址替换为由攻击者所持有钱包的地址来窃取资金。

SquirtDange主要通过用于宣传非法盗版软件的恶意广告进行分发。到目前为止,Unit 42在多个活动中共发现了近1277个与119个独特命令和控制(C&C)服务器相关的恶意软件样本,受害者主要分布于位于法国、荷兰、法属几内亚和俄罗斯。

除了上述提到的功能外,SquirtDanger还具备其他多种恶意功能,包括删除自身、发送文件、清除浏览器Cookie、列出进程、杀死进程、列出驱动器、获取目录信息、下载文件、上传文件、删除文件以及执行文件。

当SquirtDanger成功感染设备后,它将创建并执行一个名为“CheckUpdate”的计划任务。这个计划任务被配置为每分钟自动执行一次,以获取尽可能多的信息。当它与C&C服务器进行初次通信时,它会尝试获取一个附加模块列表来进行安装,以实现上文中提到的所有功能

Unit 42指出,SquirtDange是由一名代号为“TheBottle”的俄罗斯黑客开发的。TheBottle多年来一直活跃在全球各种网络犯罪论坛,其目的是推销由他开发的各种恶意软件。

在调查SquirtDanger的过程中,Unit 42发现了一篇由TheBottle撰写的自我推广博文。在这篇文章中,TheBottle宣称负责开发了多个恶意软件家族,包括Odysseus Project、Evrial和Ovidiy Stealer等。

Unit 42强调,由于SquirtDanger是作为“商品”被出售的,因此它的攻击目标不限于特定的行业或特定的地区,全球的个人或者组织都可能遭到SquirtDanger的攻击。在Unit 42的调查中,一家非洲电信公司、一所土耳其大学以及一家位于新加坡的互联网服务提供商都已经成为了SquirtDanger的受害者。