Skuld Malware
Un nou programari maliciós per recopilar informació anomenat Skuld, escrit en el llenguatge de programació Go, ha compromès amb èxit els sistemes Windows a Europa, el sud-est asiàtic i els Estats Units.
Skuld està dissenyat específicament per robar informació sensible de les seves víctimes. Per aconseguir-ho, utilitza diverses tècniques, com ara la cerca de dades dins d'aplicacions com Discord i navegadors web, així com l'extracció d'informació del propi sistema i dels fitxers emmagatzemats a les carpetes de la víctima.
Curiosament, Skuld presenta similituds amb altres recopiladors d'informació disponible públicament, com ara Creal Stealer, Luna Grabber i BlackCap Grabber. Aquestes característiques superposades suggereixen possibles connexions o codi compartit entre aquestes varietats de programari maliciós. Es creu que Skuld és la creació d'un desenvolupador que opera sota el pseudònim en línia Deathed.
El programari maliciós Skuld pot acabar amb processos predeterminats al sistema violat
Quan s'executa, el programari maliciós Skuld utilitza diverses tècniques d'evasió per impedir l'anàlisi, inclosa la comprovació de si s'està executant en un entorn virtual. Això es fa per dificultar els esforços dels investigadors per comprendre el seu comportament i funcionalitat. A més, Skuld extreu una llista dels processos que s'executen actualment al sistema infectat i la compara amb una llista de bloqueig predefinida. Si algun procés coincideix amb els presents a la llista de bloqueig, en comptes d'acabar ell mateix, Skuld procedeix a finalitzar el procés coincident, amb l'objectiu potencial de neutralitzar les mesures de seguretat o dificultar la detecció.
A més de recopilar metadades del sistema, Skuld té la capacitat de recollir informació valuosa, com ara galetes i credencials emmagatzemades als navegadors web. També s'adreça a fitxers específics que es troben a les carpetes del perfil d'usuari de Windows, com ara Escriptori, Documents, Descàrregues, Imatges, Música, Vídeos i OneDrive. Mitjançant l'orientació a aquestes carpetes, Skuld pretén accedir i, potencialment, exfiltrar dades sensibles dels usuaris, inclosos fitxers personals i documents fonamentals.
L'anàlisi dels artefactes del programari maliciós ha revelat la seva intenció deliberada de corrompre fitxers legítims associats amb Better Discord i Discord Token Protector. Aquesta activitat amenaçadora suggereix un intent d'interrompre el funcionament del programari legítim utilitzat pels usuaris de Discord. A més, Skuld utilitza una tècnica similar a un altre infostealer basat en el llenguatge de programació Rust, on injecta codi JavaScript a l'aplicació Discord per extreure codis de seguretat. Aquesta tècnica subratlla la naturalesa sofisticada de les capacitats de recopilació d'informació de Skuld i la seva intenció de comprometre els comptes d'usuari i accedir a informació confidencial addicional.
El programari maliciós Skuld pot executar activitats addicionals amenaçadores
Algunes mostres del programari maliciós Skuld han demostrat la inclusió d'un mòdul clipper, que està dissenyat per manipular el contingut del porta-retalls. Aquest mòdul permet a Skuld participar en el robatori de criptomoneda substituint les adreces de cartera de criptomoneda per les controlades pels atacants. És possible que el mòdul clipper estigui encara en desenvolupament, cosa que indica possibles millores futures a les capacitats de Skuld per robar actius de criptomoneda.
L'exfiltració de les dades recollides s'aconsegueix mitjançant dos mètodes principals. En primer lloc, el programari maliciós aprofita un webhook de Discord controlat per l'actor, que permet als atacants transmetre la informació robada a la seva infraestructura. Alternativament, Skuld utilitza el servei de càrrega de Gofile, penjant les dades recollides com a fitxer ZIP. En aquest cas, s'envia a l'atacant un URL de referència per accedir al fitxer ZIP penjat que conté les dades exfiltrades mitjançant la mateixa funcionalitat de webhook de Discord.
La presència de Skuld i les seves funcions en evolució mostra una tendència creixent entre els actors d'amenaça a utilitzar el llenguatge de programació Go. La simplicitat, l'eficiència i la compatibilitat multiplataforma de Go l'han convertit en una opció atractiva per als atacants. Mitjançant l'aprofitament de Go, els actors de les amenaces poden orientar-se a diversos sistemes operatius i ampliar el seu grup de víctimes potencials, posant de manifest la necessitat de mesures de seguretat sòlides a diverses plataformes.
