תוכנות זדוניות של Skuld

תוכנה זדונית חדשה לאיסוף מידע בשם Skuld, הכתובה בשפת התכנות Go, פגעה בהצלחה במערכות Windows באירופה, דרום מזרח אסיה וארה"ב

Skuld תוכננה במיוחד כדי לגנוב מידע רגיש מקורבנותיה. כדי להשיג זאת, הוא משתמש בטכניקות שונות, כולל חיפוש נתונים בתוך יישומים כמו דיסקורד ודפדפני אינטרנט, כמו גם חילוץ מידע מהמערכת עצמה ומקבצים המאוחסנים בתיקיות של הקורבן.

באופן מעניין, Skuld מציג קווי דמיון לאספני מידע אחרים הזמינים לציבור, כגון Creal Stealer, לונה גראבר ו-BlackCap Grabber. מאפיינים חופפים אלה מצביעים על קשרים פוטנציאליים או קוד משותף בין זני תוכנות זדוניות אלה. מאמינים כי Skuld הוא יצירתו של מפתח שפועל תחת השם הבדוי המקוון Deathined.

התוכנה הזדונית של Skuld יכולה להפסיק תהליכים שנקבעו מראש במערכת שנפרצה

לאחר הביצוע, תוכנת הזדונית Skuld משתמשת במספר טכניקות התחמקות כדי לעכב ניתוח, כולל בדיקה אם היא פועלת בתוך סביבה וירטואלית. זה נעשה כדי לעכב את מאמצי החוקרים להבין את ההתנהגות והפונקציונליות שלו. בנוסף, Skuld מחלץ רשימה של תהליכים הפועלים כעת במערכת הנגועה ומשווה אותה מול רשימת חסימות מוגדרת מראש. אם תהליך כלשהו תואם את אלה הקיימים ברשימת החסימה, במקום להפסיק את עצמו, Skuld ממשיכה להפסיק את התהליך המותאם, פוטנציאלית במטרה לנטרל אמצעי אבטחה או להפריע לזיהוי.

בנוסף לאיסוף מטא נתונים של המערכת, ל-Skuld יש את היכולת לאסוף מידע בעל ערך, כגון קובצי Cookie ואישורים המאוחסנים בדפדפני אינטרנט. זה גם מכוון לקבצים ספציפיים הממוקמים בתיקיות פרופיל המשתמש של Windows, כולל שולחן עבודה, מסמכים, הורדות, תמונות, מוזיקה, סרטונים ו-OneDrive. על ידי מיקוד לתיקיות אלו, Skuld שואפת לגשת לנתוני משתמש רגישים ולפליטה בהם, כולל קבצים אישיים ומסמכים בסיסיים.

ניתוח של חפצי התוכנה הזדונית חשף את כוונתה המכוונת להשחית קבצים לגיטימיים הקשורים ל-Better Discord ו-Discord Token Protector. פעילות מאיימת זו מעידה על ניסיון לשבש את תפקוד התוכנה הלגיטימית המשמשת משתמשי דיסקורד. יתרה מזאת, Skuld משתמשת בטכניקה דומה לגנבת מידע אחרת המבוססת על שפת התכנות Rust, שבה היא מזריקה קוד JavaScript לאפליקציית Discord כדי לחלץ קודי גיבוי. טכניקה זו מדגישה את האופי המתוחכם של יכולות איסוף המידע של Skuld ואת כוונתה לסכן חשבונות משתמש ולגשת למידע סודי נוסף.

התוכנה הזדונית של Skuld עשויה לבצע פעילויות מאיימות נוספות

דוגמאות מסוימות של התוכנה הזדונית של Skuld הדגימו הכללת מודול קליפר, שנועד לתפעל את תוכן הלוח. מודול זה מאפשר ל-Skuld לעסוק בגניבת מטבעות קריפטוגרפיים על ידי החלפת כתובות ארנק מטבעות קריפטוגרפיים בכתובות הנשלטות על ידי התוקפים. יתכן שמודול ה-clipper עדיין בפיתוח, מה שמצביע על שיפורים עתידיים ליכולות של Skuld בגניבת נכסי מטבעות קריפטוגרפיים.

הגלישה של הנתונים שנאספו מושגת באמצעות שתי שיטות עיקריות. ראשית, התוכנה הזדונית ממנפת רשת Discord הנשלטת על ידי שחקנים, ומאפשרת לתוקפים להעביר את המידע שנגנב לתשתית שלהם. לחלופין, Skuld משתמש בשירות ההעלאה של Gofile, ומעלה את הנתונים שנאספו כקובץ ZIP. במקרה זה, כתובת URL להפניה לגישה לקובץ ה-ZIP שהועלה המכיל את הנתונים שהועברו נשלחת לתוקף באמצעות אותה פונקציונליות Discord webhook.

הנוכחות של Skuld והתכונות המתפתחות שלה מציגה מגמה גוברת בקרב שחקני איומים להשתמש בשפת התכנות Go. הפשטות, היעילות והתאימות בין הפלטפורמות של Go הפכו אותו לבחירה אטרקטיבית עבור תוקפים. על ידי מינוף Go, גורמי איומים יכולים למקד למספר מערכות הפעלה ולהרחיב את מאגר הקורבנות הפוטנציאלי שלהם, תוך הדגשת הצורך באמצעי אבטחה חזקים על פני פלטפורמות שונות.