SquirtDanger：一款由俄羅斯黑客開發的憑證竊取軟體正在全球出售

「用指尖改變世界」

在上周二（4月17日）發布的一份新的研究報告中，Palo Alto Networks公司的 Unit 42威脅研究團隊透露，網路犯罪分子正在利用一種新的惡意軟體在全球範圍內實施網路攻擊。根據在攻擊活動中檢測到的動態鏈接庫文件（SquirtDanger.dll），Unit 42將這個惡意軟體名為「SquirtDanger」。

Unit 42表示，SquirtDanger是採用C＃（C Sharp，由微軟公司發布的一種面向對象的、運行於.NET Framework之上的高級程序設計語言）編寫的。允許攻擊者實現多種惡意目的，如屏幕截圖和竊取存儲在瀏覽器中密碼，甚至是竊取加密貨幣。

對於竊取瀏覽器密碼來說，SquirtDanger支持多種瀏覽器，包括Chrome、Firefox、Yandex Browser、Kometa、Amigo、Torch和Opera。

對於加密貨幣來說，SquirtDanger支持多種幣種，包括萊特幣（Litecoin）、比特幣（Bitcoin）、百特幣（Bytecoin）、達世幣（Dash）、比特幣輕量錢包Electrum、以太坊（Ethereum）和門羅幣（Monero）。

SquirtDanger竊取加密貨幣所採用的策略與另一種被命名為「ComboJack」的惡意軟體所採用的策略相似，均通過檢測目標受害者何時將加密貨幣錢包地址複製到了Windows剪貼板，並將這個地址替換為由攻擊者所持有錢包的地址來竊取資金。

SquirtDange主要通過用於宣傳非法盜版軟體的惡意廣告進行分發。到目前為止，Unit 42在多個活動中共發現了近1277個與119個獨特命令和控制（C＆C）伺服器相關的惡意軟體樣本，受害者主要分布於位於法國、荷蘭、法屬幾內亞和俄羅斯。

除了上述提到的功能外，SquirtDanger還具備其他多種惡意功能，包括刪除自身、發送文件、清除瀏覽器Cookie、列出進程、殺死進程、列出驅動器、獲取目錄信息、下載文件、上傳文件、刪除文件以及執行文件。

當SquirtDanger成功感染設備後，它將創建並執行一個名為「CheckUpdate」的計劃任務。這個計劃任務被配置為每分鐘自動執行一次，以獲取儘可能多的信息。當它與C＆C伺服器進行初次通信時，它會嘗試獲取一個附加模塊列表來進行安裝，以實現上文中提到的所有功能。

Unit 42指出，SquirtDange是由一名代號為「TheBottle」的俄羅斯黑客開發的。TheBottle多年來一直活躍在全球各種網路犯罪論壇，其目的是推銷由他開發的各種惡意軟體。

在調查SquirtDanger的過程中，Unit 42發現了一篇由TheBottle撰寫的自我推廣博文。在這篇文章中，TheBottle宣稱負責開發了多個惡意軟體家族，包括Odysseus Project、Evrial和Ovidiy Stealer等。

Unit 42強調，由於SquirtDanger是作為「商品」被出售的，因此它的攻擊目標不限於特定的行業或特定的地區，全球的個人或者組織都可能遭到SquirtDanger的攻擊。在Unit 42的調查中，一家非洲電信公司、一所土耳其大學以及一家位於新加坡的互聯網服務提供商都已經成為了SquirtDanger的受害者。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！