بدافزار Skuld
بدافزار جمع آوری اطلاعات جدید به نام Skuld که به زبان برنامه نویسی Go نوشته شده است، با موفقیت سیستم های ویندوز را در اروپا، آسیای جنوب شرقی و ایالات متحده به خطر انداخته است.
Skuld به طور خاص برای سرقت اطلاعات حساس از قربانیان خود طراحی شده است. برای انجام این کار، از تکنیک های مختلفی استفاده می کند، از جمله جستجوی داده ها در برنامه هایی مانند Discord و مرورگرهای وب، و همچنین استخراج اطلاعات از خود سیستم و فایل های ذخیره شده در پوشه های قربانی.
جالب اینجاست که Skuld شباهتهایی با دیگر جمعآورندگان اطلاعات عمومی مانند Creal Stealer، Luna Grabber و BlackCap Grabber دارد. این ویژگی های همپوشانی نشان دهنده اتصالات بالقوه یا کد مشترک در بین این گونه های بدافزار است. اعتقاد بر این است که Skuld ایجاد یک توسعه دهنده است که با نام مستعار آنلاین Deathined فعالیت می کند.
بدافزار Skuld می تواند فرآیندهای از پیش تعیین شده را در سیستم شکسته خاتمه دهد
پس از اجرا، بدافزار Skuld از چندین تکنیک فرار برای جلوگیری از تجزیه و تحلیل استفاده می کند، از جمله بررسی اینکه آیا در یک محیط مجازی اجرا می شود یا خیر. این کار برای جلوگیری از تلاش محققان برای درک رفتار و عملکرد آن انجام می شود. علاوه بر این، Skuld لیستی از فرآیندهای در حال اجرا در سیستم آلوده را استخراج می کند و آن را با یک لیست بلاک از پیش تعریف شده مقایسه می کند. اگر هر فرآیندی با فرآیندهای موجود در فهرست بلاک مطابقت داشته باشد، به جای خاتمه دادن به خود، Skuld اقدام به خاتمه دادن به فرآیند منطبق میکند، به طور بالقوه با هدف خنثی کردن اقدامات امنیتی یا ممانعت از شناسایی.
Skuld علاوه بر جمعآوری ابردادههای سیستم، توانایی جمعآوری اطلاعات ارزشمند مانند کوکیها و اعتبارنامههای ذخیره شده در مرورگرهای وب را دارد. همچنین فایلهای خاصی را که در پوشههای پروفایل کاربر ویندوز قرار دارند، از جمله دسکتاپ، اسناد، دانلودها، تصاویر، موسیقی، ویدیوها و OneDrive را هدف قرار میدهد. هدف Skuld با هدف قرار دادن این پوشهها، دسترسی به دادههای حساس کاربر، از جمله فایلهای شخصی و اسناد اساسی است.
تجزیه و تحلیل مصنوعات این بدافزار نشان داده است که قصد عمدی آن برای خراب کردن فایل های قانونی مرتبط با Better Discord و Discord Token Protector است. این فعالیت تهدید آمیز نشان دهنده تلاشی برای ایجاد اختلال در عملکرد نرم افزار قانونی مورد استفاده کاربران Discord است. علاوه بر این، Skuld از تکنیکی شبیه به سرقت اطلاعات دیگری بر اساس زبان برنامه نویسی Rust استفاده می کند، جایی که کد جاوا اسکریپت را به برنامه Discord تزریق می کند تا کدهای پشتیبان استخراج کند. این تکنیک بر ماهیت پیچیده قابلیتهای جمعآوری اطلاعات Skuld و قصد آن برای به خطر انداختن حسابهای کاربری و دسترسی به اطلاعات محرمانه اضافی تأکید میکند.
بدافزار Skuld ممکن است فعالیتهای تهدیدآمیز دیگری را انجام دهد
نمونه های خاصی از بدافزار Skuld گنجاندن یک ماژول کلیپر را نشان داده اند که برای دستکاری محتویات کلیپ بورد طراحی شده است. این ماژول به Skuld اجازه میدهد تا با جایگزین کردن آدرسهای کیف پول ارزهای دیجیتال با آدرسهایی که توسط مهاجمان کنترل میشوند، در سرقت ارزهای دیجیتال شرکت کند. این امکان وجود دارد که ماژول کلیپر هنوز در حال توسعه باشد، که نشان دهنده پیشرفت های بالقوه آینده در قابلیت های Skuld در سرقت دارایی های ارزهای دیجیتال است.
استخراج داده های جمع آوری شده از طریق دو روش اولیه انجام می شود. در مرحله اول، بدافزار از وب هوک Discord تحت کنترل بازیگر استفاده می کند و مهاجمان را قادر می سازد اطلاعات سرقت شده را به زیرساخت خود منتقل کنند. روش دیگر، Skuld از سرویس آپلود Gofile استفاده می کند و داده های جمع آوری شده را به عنوان یک فایل ZIP آپلود می کند. در این مورد، یک URL مرجع برای دسترسی به فایل ZIP آپلود شده حاوی داده های استخراج شده با استفاده از همان قابلیت وب هوک Discord برای مهاجم ارسال می شود.
حضور Skuld و ویژگیهای در حال تکامل آن، روند رو به رشدی را در میان عوامل تهدید برای استفاده از زبان برنامهنویسی Go نشان میدهد. سادگی، کارایی و سازگاری بین پلتفرم Go، آن را به انتخابی جذاب برای مهاجمان تبدیل کرده است. با استفاده از Go، بازیگران تهدید می توانند چندین سیستم عامل را هدف قرار دهند و مجموعه قربانیان بالقوه خود را گسترش دهند و نیاز به اقدامات امنیتی قوی در پلتفرم های مختلف را برجسته کنند.