Skuld Malware

En ny informationsindsamlende malware kaldet Skuld, skrevet i programmeringssproget Go, har med succes kompromitteret Windows-systemer i Europa, Sydøstasien og USA

Skuld er specielt designet til at stjæle følsom information fra sine ofre. For at opnå dette bruger den forskellige teknikker, herunder søgning efter data i applikationer som Discord og webbrowsere, samt udtrækning af information fra selve systemet og filer gemt i ofrets mapper.

Interessant nok udviser Skuld ligheder med andre offentligt tilgængelige informationssamlere, såsom Creal Stealer, Luna Grabber og BlackCap Grabber. Disse overlappende egenskaber tyder på potentielle forbindelser eller delt kode blandt disse malware-stammer. Skuld menes at være skabelsen af en udvikler, der opererer under online-pseudonymet Deathined.

Skuld-malwaren kan afslutte forudbestemte processer på det brudte system

Ved udførelse anvender Skuld-malwaren adskillige undvigelsesteknikker til at forhindre analyse, herunder at kontrollere, om den kører i et virtuelt miljø. Dette gøres for at hindre forskernes bestræbelser på at forstå dens adfærd og funktionalitet. Derudover udtrækker Skuld en liste over aktuelt kørende processer på det inficerede system og sammenligner det med en foruddefineret blokeringsliste. Hvis en proces matcher dem, der er til stede på bloklisten, fortsætter Skuld i stedet for at afslutte sig selv med at afslutte den matchede proces, hvilket potentielt har til formål at neutralisere sikkerhedsforanstaltninger eller hindre detektion.

Ud over at indsamle systemmetadata besidder Skuld evnen til at høste værdifuld information, såsom cookies og legitimationsoplysninger, der er gemt i webbrowsere. Det er også rettet mod specifikke filer, der er placeret i Windows-brugerprofilmapperne, inklusive Desktop, Dokumenter, Downloads, Billeder, Musik, Videoer og OneDrive. Ved at målrette disse mapper sigter Skuld mod at få adgang til og potentielt eksfiltrere følsomme brugerdata, herunder personlige filer og grundlæggende dokumenter.

Analyse af malwarens artefakter har afsløret dens bevidste hensigt om at korrupte legitime filer forbundet med Better Discord og Discord Token Protector. Denne truende aktivitet antyder et forsøg på at forstyrre funktionen af lovlig software, der bruges af Discord-brugere. Ydermere anvender Skuld en teknik, der ligner en anden infostealer baseret på Rust-programmeringssproget, hvor den injicerer JavaScript-kode i Discord-applikationen for at udtrække backup-koder. Denne teknik understreger den sofistikerede karakter af Skulds informationsindsamlingsmuligheder og dens hensigt om at kompromittere brugerkonti og få adgang til yderligere fortrolig information.

Skuld-malwaren kan udføre yderligere truende aktiviteter

Visse prøver af Skuld-malwaren har vist inkluderingen af et clipper-modul, som er designet til at manipulere indholdet af udklipsholderen. Dette modul giver Skuld mulighed for at engagere sig i cryptocurrency-tyveri ved at erstatte cryptocurrency wallet-adresser med dem, der kontrolleres af angriberne. Det er muligt, at clipper-modulet sandsynligvis stadig er under udvikling, hvilket indikerer potentielle fremtidige forbedringer af Skulds evner til at stjæle cryptocurrency-aktiver.

Eksfiltrationen af de indsamlede data opnås gennem to primære metoder. For det første udnytter malwaren en aktørstyret Discord-webhook, der gør det muligt for angriberne at overføre den stjålne information til deres infrastruktur. Alternativt bruger Skuld Gofile upload-tjenesten, og uploader de indsamlede data som en ZIP-fil. I dette tilfælde sendes en reference-URL for at få adgang til den uploadede ZIP-fil, der indeholder de eksfiltrerede data, til angriberen ved hjælp af den samme Discord-webhook-funktionalitet.

Tilstedeværelsen af Skuld og dets udviklende funktioner viser en voksende tendens blandt trusselsaktører til at bruge Go-programmeringssproget. Gos enkelhed, effektivitet og kompatibilitet på tværs af platforme har gjort det til et attraktivt valg for angribere. Ved at udnytte Go kan trusselsaktører målrette mod flere operativsystemer og udvide deres potentielle offerpulje, hvilket understreger behovet for robuste sikkerhedsforanstaltninger på tværs af forskellige platforme.