بدافزار Skuld

بدافزار جمع آوری اطلاعات جدید به نام Skuld که به زبان برنامه نویسی Go نوشته شده است، با موفقیت سیستم های ویندوز را در اروپا، آسیای جنوب شرقی و ایالات متحده به خطر انداخته است.

Skuld به طور خاص برای سرقت اطلاعات حساس از قربانیان خود طراحی شده است. برای انجام این کار، از تکنیک های مختلفی استفاده می کند، از جمله جستجوی داده ها در برنامه هایی مانند Discord و مرورگرهای وب، و همچنین استخراج اطلاعات از خود سیستم و فایل های ذخیره شده در پوشه های قربانی.

جالب اینجاست که Skuld شباهت‌هایی با دیگر جمع‌آورندگان اطلاعات عمومی مانند Creal Stealer، Luna Grabber و BlackCap Grabber دارد. این ویژگی های همپوشانی نشان دهنده اتصالات بالقوه یا کد مشترک در بین این گونه های بدافزار است. اعتقاد بر این است که Skuld ایجاد یک توسعه دهنده است که با نام مستعار آنلاین Deathined فعالیت می کند.

بدافزار Skuld می تواند فرآیندهای از پیش تعیین شده را در سیستم شکسته خاتمه دهد

پس از اجرا، بدافزار Skuld از چندین تکنیک فرار برای جلوگیری از تجزیه و تحلیل استفاده می کند، از جمله بررسی اینکه آیا در یک محیط مجازی اجرا می شود یا خیر. این کار برای جلوگیری از تلاش محققان برای درک رفتار و عملکرد آن انجام می شود. علاوه بر این، Skuld لیستی از فرآیندهای در حال اجرا در سیستم آلوده را استخراج می کند و آن را با یک لیست بلاک از پیش تعریف شده مقایسه می کند. اگر هر فرآیندی با فرآیندهای موجود در فهرست بلاک مطابقت داشته باشد، به جای خاتمه دادن به خود، Skuld اقدام به خاتمه دادن به فرآیند منطبق می‌کند، به طور بالقوه با هدف خنثی کردن اقدامات امنیتی یا ممانعت از شناسایی.

Skuld علاوه بر جمع‌آوری ابرداده‌های سیستم، توانایی جمع‌آوری اطلاعات ارزشمند مانند کوکی‌ها و اعتبارنامه‌های ذخیره شده در مرورگرهای وب را دارد. همچنین فایل‌های خاصی را که در پوشه‌های پروفایل کاربر ویندوز قرار دارند، از جمله دسک‌تاپ، اسناد، دانلودها، تصاویر، موسیقی، ویدیوها و OneDrive را هدف قرار می‌دهد. هدف Skuld با هدف قرار دادن این پوشه‌ها، دسترسی به داده‌های حساس کاربر، از جمله فایل‌های شخصی و اسناد اساسی است.

تجزیه و تحلیل مصنوعات این بدافزار نشان داده است که قصد عمدی آن برای خراب کردن فایل های قانونی مرتبط با Better Discord و Discord Token Protector است. این فعالیت تهدید آمیز نشان دهنده تلاشی برای ایجاد اختلال در عملکرد نرم افزار قانونی مورد استفاده کاربران Discord است. علاوه بر این، Skuld از تکنیکی شبیه به سرقت اطلاعات دیگری بر اساس زبان برنامه نویسی Rust استفاده می کند، جایی که کد جاوا اسکریپت را به برنامه Discord تزریق می کند تا کدهای پشتیبان استخراج کند. این تکنیک بر ماهیت پیچیده قابلیت‌های جمع‌آوری اطلاعات Skuld و قصد آن برای به خطر انداختن حساب‌های کاربری و دسترسی به اطلاعات محرمانه اضافی تأکید می‌کند.

بدافزار Skuld ممکن است فعالیت‌های تهدیدآمیز دیگری را انجام دهد

نمونه های خاصی از بدافزار Skuld گنجاندن یک ماژول کلیپر را نشان داده اند که برای دستکاری محتویات کلیپ بورد طراحی شده است. این ماژول به Skuld اجازه می‌دهد تا با جایگزین کردن آدرس‌های کیف پول ارزهای دیجیتال با آدرس‌هایی که توسط مهاجمان کنترل می‌شوند، در سرقت ارزهای دیجیتال شرکت کند. این امکان وجود دارد که ماژول کلیپر هنوز در حال توسعه باشد، که نشان دهنده پیشرفت های بالقوه آینده در قابلیت های Skuld در سرقت دارایی های ارزهای دیجیتال است.

استخراج داده های جمع آوری شده از طریق دو روش اولیه انجام می شود. در مرحله اول، بدافزار از وب هوک Discord تحت کنترل بازیگر استفاده می کند و مهاجمان را قادر می سازد اطلاعات سرقت شده را به زیرساخت خود منتقل کنند. روش دیگر، Skuld از سرویس آپلود Gofile استفاده می کند و داده های جمع آوری شده را به عنوان یک فایل ZIP آپلود می کند. در این مورد، یک URL مرجع برای دسترسی به فایل ZIP آپلود شده حاوی داده های استخراج شده با استفاده از همان قابلیت وب هوک Discord برای مهاجم ارسال می شود.

حضور Skuld و ویژگی‌های در حال تکامل آن، روند رو به رشدی را در میان عوامل تهدید برای استفاده از زبان برنامه‌نویسی Go نشان می‌دهد. سادگی، کارایی و سازگاری بین پلتفرم Go، آن را به انتخابی جذاب برای مهاجمان تبدیل کرده است. با استفاده از Go، بازیگران تهدید می توانند چندین سیستم عامل را هدف قرار دهند و مجموعه قربانیان بالقوه خود را گسترش دهند و نیاز به اقدامات امنیتی قوی در پلتفرم های مختلف را برجسته کنند.