SquirtDanger vole les mots de passe et fait des captures d'écran de l'activité de l'util
SquirtDanger est capable de vider les porte-monnaie Crypto, de tuer, de voler les mots de passe du navigateur Web et de prendre des captures d'écran. Dans un nouveau rapport de recherche publié le 17 avril, les chercheurs de l'Unité 42 de Palo Alto ont révélé qu'il existe une souche de malware fraîchement identifiée qui prend des captures d'écran, télécharge des fichiers, vole des mots de passe et draine des portefeuilles cryptocurrency. Le botnet malware, surnommé SquirtDanger, appartient à la famille des Malware Swiss Army Knife Malware. Le logiciel malveillant est distribué par le biais de téléchargements illégaux de logiciels connus sous le nom de Warez. Jusqu'à présent, près de 1 277 échantillons de ce nouveau malware lié à 119 serveurs C&C uniques ont été identifiés par les chercheurs dans le cadre de multiples campagnes. Les principales cibles sont situées en France, aux Pays-Bas, en Guinée française et en Russie.
Les capacités supplémentaires de SquirtDanger comprennent la suppression des logiciels malveillants, la suppression des cookies du navigateur, l'envoi de fichiers, les processus de référencement, le téléchargement, la mise à jour et l'exécution de fichiers, les processus de destruction et l'obtention d'informations de répertoire. Selon le blog de Palo Alto, lorsque SquirtDanger infecte un système, il persiste à travers une'tâche programmée', qui s'exécute automatiquement après chaque minute pour obtenir autant d'informations que possible. SquirtDanger a utilisé des'connexions TCP brutes' pour initier des communications réseau vers un serveur C&C distant, affirment les chercheurs.
Il faut noter que la famille de logiciels malveillants Swiss Army Knife a été conçue par un cybercriminel russe chevronné qui utilise l'alias TheBottle et a été très actif sur les marchés souterrains ombragés sur le web. Le malware a été nommé SquirtDanger en raison d'un fichier de bibliothèque de liens dynamiques/DLLL écrit en C Sharp. Ce fichier comprend plusieurs couches de code incorporé. Selon les conclusions des chercheurs de Palo Alto Networks, des individus et des organisations du monde entier sont devenus des cibles de SquirtDanger. Il s'agit notamment d'une entreprise africaine de télécommunications, d'une université turque et d'un fournisseur de services Internet basé à Singapour. Les chercheurs affirment qu'il n'y a pas d'industrie spécifique qui a été attaquée avec SquirtDanger parce que le malware est en vente et que les cibles sont donc diverses.
SquirtDanger peut extraire le contenu des portefeuilles cryptocurrency en utilisant des tactiques de commutation comme celles adoptées par les logiciels malveillants ComboJack. Cependant, Grunzweig déclare que SquirtDanger n'est pas le seul dans la nature et qu'il pourrait y avoir beaucoup plus de logiciels malveillants appartenant à la même famille.
Traduit par Dr.Mo7oG