Skuld pahavara

Uus infot koguv pahavara nimega Skuld, mis on kirjutatud Go programmeerimiskeeles, on edukalt ohustanud Windowsi süsteeme Euroopas, Kagu-Aasias ja USA-s

Skuld on spetsiaalselt loodud ohvrite tundliku teabe röövimiseks. Selle saavutamiseks kasutab see erinevaid tehnikaid, sealhulgas andmete otsimist sellistes rakendustes nagu Discord ja veebibrauserid, samuti teabe hankimist süsteemist endast ja ohvri kaustadesse salvestatud failidest.

Huvitaval kombel on Skuldil sarnasusi teiste avalikult kättesaadavate teabekogujatega, nagu Creal Stealer, Luna Grabber ja BlackCap Grabber. Need kattuvad omadused viitavad potentsiaalsetele ühendustele või jagatud koodidele nende pahavara tüvede vahel. Arvatakse, et Skuld on arendaja looming, kes tegutseb veebis varjunime Deathined all.

Skuldi pahavara võib rikutud süsteemis eelnevalt kindlaksmääratud protsessid katkestada

Skuldi pahavara kasutab käivitamisel analüüsi takistamiseks mitmeid kõrvalehoidmismeetodeid, sealhulgas kontrollib, kas see töötab virtuaalses keskkonnas. Seda tehakse selleks, et takistada teadlaste püüdlusi mõista selle käitumist ja funktsionaalsust. Lisaks eraldab Skuld nakatunud süsteemis praegu töötavate protsesside loendi ja võrdleb seda eelnevalt määratletud blokeerimisloendiga. Kui mõni protsess ühtib blokeerimisloendis olevate protsessidega, lõpetab Skuld enda lõpetamise asemel sobitatud protsessi, mille eesmärk on potentsiaalselt neutraliseerida turvameetmed või takistada tuvastamist.

Lisaks süsteemi metaandmete kogumisele on Skuldil võimalus koguda väärtuslikku teavet, näiteks küpsiseid ja veebibrauseritesse salvestatud mandaate. See sihib ka konkreetseid Windowsi kasutajaprofiili kaustades asuvaid faile, sealhulgas töölaud, dokumendid, allalaadimised, pildid, muusika, videod ja OneDrive. Nende kaustade sihtimisega soovib Skuld pääseda juurde tundlikele kasutajaandmetele, sealhulgas isiklikele failidele ja põhidokumentidele, ja potentsiaalselt neist välja filtreerida.

Pahavara artefaktide analüüs on paljastanud selle tahtliku kavatsuse rikkuda Better Discordi ja Discord Token Protectoriga seotud legitiimseid faile. See ähvardav tegevus viitab katsele häirida Discordi kasutajate poolt kasutatava legitiimse tarkvara toimimist. Lisaks kasutab Skuld tehnikat, mis sarnaneb mõne teise Rusti programmeerimiskeelel põhineva infovarastajaga, kus ta sisestab varukoodide eraldamiseks JavaScripti koodi rakendusse Discord. See meetod rõhutab Skuldi teabe kogumise võimaluste keerukust ja kavatsust kahjustada kasutajakontosid ja pääseda juurde täiendavale konfidentsiaalsele teabele.

Skuldi pahavara võib sooritada täiendavaid ähvardavaid tegevusi

Teatud Skuldi pahavara näidised on näidanud lõikepuhvri sisuga manipuleerimiseks mõeldud lõikemooduli kaasamist. See moodul võimaldab Skuldil tegeleda krüptovaluutavargustega, asendades krüptoraha rahakoti aadressid ründajate kontrollitavate aadressidega. Võimalik, et klipperi moodul on tõenäoliselt alles väljatöötamisel, mis viitab potentsiaalsetele tulevastele täiustustele Skuldi võimekuses krüptovaluuta varade varastamise osas.

Kogutud andmete väljafiltreerimine saavutatakse kahe peamise meetodi abil. Esiteks kasutab pahavara näitlejate juhitavat Discordi veebihaagi, mis võimaldab ründajatel edastada varastatud teavet oma infrastruktuuri. Teise võimalusena kasutab Skuld Gofile'i üleslaadimisteenust, laadides kogutud andmed üles ZIP-failina. Sel juhul saadetakse väljafiltreeritud andmeid sisaldavale üleslaaditud ZIP-failile juurdepääsemiseks viite-URL ründajale, kasutades sama Discordi veebihaagi funktsiooni.

Skuldi olemasolu ja selle arenevad funktsioonid näitavad ohus osalejate kasvavat trendi Go programmeerimiskeelt kasutada. Go lihtsus, tõhusus ja platvormideülene ühilduvus on muutnud selle ründajatele atraktiivseks valikuks. Go võimendades saavad ohus osalejad sihtida mitut operatsioonisüsteemi ja laiendada oma potentsiaalset ohvrite kogumit, rõhutades vajadust tugevate turvameetmete järele erinevatel platvormidel.