Skuld-haittaohjelma

Uusi Go-ohjelmointikielellä kirjoitettu tiedonkeruuhaittaohjelma Skuld on onnistuneesti murtautunut Windows-järjestelmiin Euroopassa, Kaakkois-Aasiassa ja Yhdysvalloissa.

Skuld on erityisesti suunniteltu varastamaan arkaluontoisia tietoja uhreilta. Tämän saavuttamiseksi se käyttää erilaisia tekniikoita, kuten tietojen etsimistä sovelluksista, kuten Discordista ja verkkoselaimista, sekä tietojen poimimista itse järjestelmästä ja uhrin kansioihin tallennetuista tiedostoista.

Mielenkiintoista on, että Skuldilla on yhtäläisyyksiä muihin julkisesti saatavilla oleviin tiedonkerääjiin, kuten Creal Stealer, Luna Grabber ja BlackCap Grabber. Nämä päällekkäiset ominaisuudet viittaavat mahdollisiin yhteyksiin tai yhteiseen koodiin näiden haittaohjelmakantojen välillä. Skuldin uskotaan olevan Deathined-salanimellä toimivan kehittäjän luomus.

Skuld-haittaohjelma voi lopettaa ennalta määrätyt prosessit rikotussa järjestelmässä

Suorittaessaan Skuld-haittaohjelma käyttää useita evaasiotekniikoita analyysin estämiseksi, mukaan lukien sen tarkistaminen, toimiiko se virtuaaliympäristössä. Tämä tehdään estämään tutkijoiden pyrkimyksiä ymmärtää sen käyttäytymistä ja toimivuutta. Lisäksi Skuld poimii luettelon tällä hetkellä käynnissä olevista prosesseista tartunnan saaneessa järjestelmässä ja vertaa sitä ennalta määritettyyn estoluetteloon. Jos jokin prosessi vastaa estolistassa olevia, Skuld lopettaa itsensä sen sijaan, että se lopettaa täsmäävän prosessin, mikä mahdollisesti pyrkii neutraloimaan turvatoimenpiteet tai estämään havaitsemisen.

Järjestelmän metatietojen keräämisen lisäksi Skuldilla on kyky kerätä arvokasta tietoa, kuten evästeitä ja verkkoselaimiin tallennettuja tunnistetietoja. Se kohdistaa myös tiettyihin tiedostoihin, jotka sijaitsevat Windowsin käyttäjäprofiilikansioissa, mukaan lukien työpöytä, asiakirjat, lataukset, kuvat, musiikki, videot ja OneDrive. Kohdistamalla näihin kansioihin Skuld pyrkii pääsemään käsiksi ja mahdollisesti suodattamaan arkaluonteisia käyttäjätietoja, mukaan lukien henkilökohtaiset tiedostot ja perusasiakirjat.

Haittaohjelman esineiden analyysi on paljastanut sen tahallisen aikomuksen korruptoida Better Discord- ja Discord Token Protectoriin liittyvät lailliset tiedostot. Tämä uhkaava toiminta viittaa yritykseen häiritä Discord-käyttäjien käyttämien laillisten ohjelmistojen toimintaa. Lisäksi Skuld käyttää samanlaista tekniikkaa kuin toinen Rust-ohjelmointikieleen perustuva infostealer, jossa se ruiskuttaa JavaScript-koodia Discord-sovellukseen varmuuskopioiden purkamiseksi. Tämä tekniikka korostaa Skuldin tiedonkeruuominaisuuksien kehittyneempää luonnetta ja sen aikomusta vaarantaa käyttäjätilejä ja päästä käsiksi luottamuksellisiin lisätietoihin.

Skuld-haittaohjelma voi suorittaa muita uhkaavia toimintoja

Tietyt näytteet Skuld-haittaohjelmasta ovat osoittaneet, että niissä on leikkurimoduuli, joka on suunniteltu käsittelemään leikepöydän sisältöä. Tämän moduulin avulla Skuld voi ryhtyä kryptovaluuttavarkauksiin korvaamalla kryptovaluuttalompakkoosoitteet hyökkääjien hallitsemilla osoitteilla. On mahdollista, että leikkurimoduuli on todennäköisesti vielä kehitteillä, mikä viittaa mahdollisiin tuleviin parannuksiin Skuldin kykyihin varastaa kryptovaluuttavaroja.

Kerättyjen tietojen suodattaminen saavutetaan kahdella ensisijaisella menetelmällä. Ensinnäkin haittaohjelma hyödyntää toimijoiden ohjaamaa Discord-webhookia, jonka avulla hyökkääjät voivat välittää ryöstetyt tiedot infrastruktuuriinsa. Vaihtoehtoisesti Skuld käyttää Gofile-latauspalvelua ja lataa kerätyt tiedot ZIP-tiedostona. Tässä tapauksessa hyökkääjälle lähetetään viite-URL-osoite ladatun ZIP-tiedoston käyttämiseksi, joka sisältää tutkitut tiedot, käyttämällä samaa Discord-verkkohook-toimintoa.

Skuld ja sen kehittyvät ominaisuudet osoittavat uhkatoimijoiden kasvavan trendin käyttää Go-ohjelmointikieltä. Go:n yksinkertaisuus, tehokkuus ja eri alustojen yhteensopivuus ovat tehneet siitä houkuttelevan valinnan hyökkääjille. Hyödyntämällä Go:ta uhkatekijät voivat kohdistaa kohteensa useisiin käyttöjärjestelmiin ja laajentaa potentiaalista uhrijoukkoaan, mikä korostaa vahvojen turvatoimien tarvetta eri alustoilla.