Skuld البرامج الضارة

نجح برنامج ضار جديد لجمع المعلومات يسمى Skuld ، مكتوب بلغة برمجة Go ، في اختراق أنظمة Windows في أوروبا وجنوب شرق آسيا والولايات المتحدة

تم تصميم Skuld خصيصًا لسرقة المعلومات الحساسة من ضحاياه. لتحقيق ذلك ، يستخدم تقنيات مختلفة ، بما في ذلك البحث عن البيانات داخل تطبيقات مثل Discord ومتصفحات الويب ، وكذلك استخراج المعلومات من النظام نفسه والملفات المخزنة في مجلدات الضحية.

ومن المثير للاهتمام أن Skuld تُظهر أوجه تشابه مع جامعي المعلومات الآخرين المتاحين للجمهور ، مثل Creal Stealer و Luna Grabber و BlackCap Grabber. تشير هذه الخصائص المتداخلة إلى اتصالات محتملة أو رمز مشترك بين سلالات البرامج الضارة هذه. يُعتقد أن Skuld هو إنشاء مطور يعمل تحت الاسم المستعار على الإنترنت Deathined.

يمكن للبرامج الضارة Skuld إنهاء العمليات المحددة مسبقًا على النظام الذي تم اختراقه

عند التنفيذ ، تستخدم البرامج الضارة Skuld العديد من تقنيات التهرب لإعاقة التحليل ، بما في ذلك التحقق مما إذا كان يعمل ضمن بيئة افتراضية. يتم ذلك لعرقلة جهود الباحثين لفهم سلوكها ووظائفها. بالإضافة إلى ذلك ، يستخرج Skuld قائمة بالعمليات الجارية حاليًا على النظام المصاب ويقارنها بقائمة حظر محددة مسبقًا. إذا تطابقت أي عملية مع تلك الموجودة في قائمة الحظر ، فبدلاً من إنهاء نفسها ، تتابع Skuld إنهاء العملية المطابقة ، وربما تهدف إلى تحييد الإجراءات الأمنية أو إعاقة الاكتشاف.

بالإضافة إلى جمع البيانات الوصفية للنظام ، تمتلك Skuld القدرة على جمع معلومات قيمة ، مثل ملفات تعريف الارتباط وبيانات الاعتماد المخزنة في متصفحات الويب. كما أنه يستهدف ملفات محددة موجودة في مجلدات ملفات تعريف مستخدم Windows ، بما في ذلك سطح المكتب والمستندات والتنزيلات والصور والموسيقى ومقاطع الفيديو و OneDrive. من خلال استهداف هذه المجلدات ، يهدف Skuld إلى الوصول إلى بيانات المستخدم الحساسة ، بما في ذلك الملفات الشخصية والوثائق الأساسية ، وربما سرقتها.

كشف تحليل القطع الأثرية للبرامج الضارة عن نيتها المتعمدة لإفساد الملفات الشرعية المرتبطة بـ Better Discord and Discord Token Protector. يشير هذا النشاط المهدد إلى محاولة لتعطيل عمل البرامج الشرعية التي يستخدمها مستخدمو Discord. علاوة على ذلك ، يستخدم Skuld أسلوبًا مشابهًا لمخترع معلومات آخر يعتمد على لغة برمجة Rust ، حيث يقوم بحقن كود JavaScript في تطبيق Discord لاستخراج الرموز الاحتياطية. تؤكد هذه التقنية الطبيعة المعقدة لقدرات Skuld على جمع المعلومات وعزمها على اختراق حسابات المستخدمين والوصول إلى معلومات سرية إضافية.

قد تنفذ برامج Skuld الضارة أنشطة تهديد إضافية

أظهرت عينات معينة من البرامج الضارة Skuld تضمين وحدة قص ، مصممة للتعامل مع محتويات الحافظة. تسمح هذه الوحدة لـ Skuld بالانخراط في سرقة العملات المشفرة عن طريق استبدال عناوين محفظة العملة المشفرة بتلك التي يتحكم فيها المهاجمون. من المحتمل أن تكون وحدة المقص لا تزال قيد التطوير ، مما يشير إلى التحسينات المستقبلية المحتملة لقدرات Skuld في سرقة أصول العملة المشفرة.

يتم استخراج البيانات التي تم جمعها من خلال طريقتين أساسيتين. أولاً ، تستفيد البرامج الضارة من خطاف الويب Discord الذي يتحكم فيه الممثل ، مما يمكّن المهاجمين من نقل المعلومات المسروقة إلى بنيتهم التحتية. بدلاً من ذلك ، تستخدم Skuld خدمة تحميل Gofile ، وتحميل البيانات المجمعة كملف ZIP. في هذه الحالة ، يتم إرسال عنوان URL مرجعي للوصول إلى ملف ZIP الذي تم تحميله والذي يحتوي على البيانات المسربة إلى المهاجم باستخدام نفس وظيفة خطاف الويب Discord.

يُظهر وجود Skuld وميزاته المتطورة اتجاهًا متزايدًا بين الجهات الفاعلة في التهديد لاستخدام لغة برمجة Go. جعلت بساطة Go وكفاءتها وتوافقها عبر الأنظمة الأساسية خيارًا جذابًا للمهاجمين. من خلال الاستفادة من Go ، يمكن للجهات الفاعلة في التهديد استهداف أنظمة تشغيل متعددة وتوسيع مجموعة الضحايا المحتملين ، مما يبرز الحاجة إلى تدابير أمنية قوية عبر منصات مختلفة.