Skuld Malware

Нов зловреден софтуер за събиране на информация, наречен Skuld, написан на езика за програмиране Go, успешно компрометира Windows системи в Европа, Югоизточна Азия и САЩ

Skuld е специално проектиран да краде чувствителна информация от своите жертви. За да постигне това, той използва различни техники, включително търсене на данни в приложения като Discord и уеб браузъри, както и извличане на информация от самата система и файлове, съхранявани в папките на жертвата.

Интересното е, че Skuld проявява прилики с други публично достъпни събирачи на информация, като Creal Stealer, Luna Grabber и BlackCap Grabber. Тези припокриващи се характеристики предполагат потенциални връзки или споделен код между тези видове зловреден софтуер. Смята се, че Skuld е творение на разработчик, който работи под онлайн псевдонима Deathined.

Злонамереният софтуер Skuld може да прекрати предварително определени процеси в нарушената система

При изпълнение злонамереният софтуер Skuld използва няколко техники за избягване, за да попречи на анализа, включително проверка дали работи във виртуална среда. Това се прави, за да се попречат на усилията на изследователите да разберат поведението и функционалността му. Освен това Skuld извлича списък с текущо изпълнявани процеси в заразената система и го сравнява с предварително дефиниран списък за блокиране. Ако някой процес съвпадне с присъстващите в списъка за блокиране, вместо да се самопрекратява, Skuld продължава да прекратява съответстващия процес, като потенциално има за цел да неутрализира мерките за сигурност или да попречи на откриването.

В допълнение към събирането на системни метаданни, Skuld притежава способността да събира ценна информация, като бисквитки и идентификационни данни, съхранявани в уеб браузъри. Той също така е насочен към конкретни файлове, намиращи се в папките на потребителския профил на Windows, включително Desktop, Documents, Downloads, Pictures, Music, Videos и OneDrive. Като се насочва към тези папки, Skuld има за цел да получи достъп и потенциално да ексфилтрира чувствителни потребителски данни, включително лични файлове и основни документи.

Анализът на артефактите на злонамерения софтуер разкри умишленото му намерение да повреди легитимни файлове, свързани с Better Discord и Discord Token Protector. Тази заплашителна дейност предполага опит за прекъсване на функционирането на легитимен софтуер, използван от потребителите на Discord. Освен това, Skuld използва техника, подобна на друг infostealer, базиран на езика за програмиране Rust, където инжектира JavaScript код в приложението Discord, за да извлече резервни кодове. Тази техника подчертава сложния характер на възможностите на Skuld за събиране на информация и намерението му да компрометира потребителски акаунти и да получи достъп до допълнителна поверителна информация.

Зловреден софтуер Skuld може да извършва допълнителни заплашителни дейности

Някои образци на злонамерения софтуер Skuld демонстрираха включването на модул за подстригване, който е предназначен да манипулира съдържанието на клипборда. Този модул позволява на Skuld да участва в кражба на криптовалута, като заменя адресите на портфейла за криптовалута с тези, контролирани от нападателите. Възможно е модулът за подстригване да е все още в процес на разработка, което показва потенциални бъдещи подобрения на възможностите на Skuld за кражба на активи в криптовалута.

Ексфилтрацията на събраните данни се постига чрез два основни метода. Първо, злонамереният софтуер използва контролирана от актьор уебкукичка на Discord, позволяваща на нападателите да предават открадната информация към своята инфраструктура. Алтернативно, Skuld използва услугата за качване Gofile, като качва събраните данни като ZIP файл. В този случай референтен URL за достъп до качения ZIP файл, съдържащ ексфилтрираните данни, се изпраща на атакуващия чрез същата функционалност на Discord webhook.

Присъствието на Skuld и неговите развиващи се функции показва нарастваща тенденция сред заплахите да използват програмния език Go. Простотата, ефективността и съвместимостта на различни платформи на Go го направиха привлекателен избор за нападателите. Използвайки Go, участниците в заплахите могат да се насочат към множество операционни системи и да разширят своя потенциален набор от жертви, подчертавайки необходимостта от стабилни мерки за сигурност в различни платформи.