Skuld zlonamjerni softver

Novi malware za prikupljanje informacija pod nazivom Skuld, napisan u programskom jeziku Go, uspješno je ugrozio Windows sustave u Europi, jugoistočnoj Aziji i SAD-u

Skuld je posebno dizajniran za krađu osjetljivih informacija od svojih žrtava. Kako bi to postigao, koristi različite tehnike, uključujući traženje podataka unutar aplikacija poput Discorda i web preglednika, kao i izvlačenje informacija iz samog sustava i datoteka pohranjenih u mapama žrtve.

Zanimljivo, Skuld pokazuje sličnosti s drugim javno dostupnim sakupljačima informacija, kao što su Creal Stealer, Luna Grabber i BlackCap Grabber. Ove karakteristike koje se preklapaju sugeriraju potencijalne veze ili zajednički kod među tim vrstama zlonamjernog softvera. Vjeruje se da je Skuld kreacija programera koji djeluje pod online pseudonimom Deathined.

Zlonamjerni softver Skuld može prekinuti unaprijed određene procese na oštećenom sustavu

Nakon izvršenja, zlonamjerni softver Skuld koristi nekoliko tehnika izbjegavanja kako bi spriječio analizu, uključujući provjeru radi li unutar virtualnog okruženja. To se radi kako bi se spriječili napori istraživača da razumiju njegovo ponašanje i funkcionalnost. Dodatno, Skuld izdvaja popis trenutno pokrenutih procesa na zaraženom sustavu i uspoređuje ga s unaprijed definiranom listom blokiranih. Ako se bilo koji proces podudara s onima koji su prisutni na popisu blokiranih, umjesto da sam sebe prekine, Skuld nastavlja prekidati usklađeni proces, potencijalno s ciljem neutralizacije sigurnosnih mjera ili sprječavanja otkrivanja.

Osim prikupljanja metapodataka sustava, Skuld posjeduje sposobnost skupljanja vrijednih informacija, poput kolačića i vjerodajnica pohranjenih u web preglednicima. Također cilja na određene datoteke koje se nalaze u mapama Windows korisničkog profila, uključujući Desktop, Documents, Downloads, Pictures, Music, Videos i OneDrive. Usmjeravanjem na te mape, Skuld ima za cilj pristup i potencijalno eksfiltraciju osjetljivih korisničkih podataka, uključujući osobne datoteke i temeljne dokumente.

Analiza artefakata zlonamjernog softvera otkrila je njegovu namjernu namjeru da ošteti legitimne datoteke povezane s Better Discordom i Discord Token Protectorom. Ova prijeteća aktivnost sugerira pokušaj ometanja funkcioniranja legitimnog softvera koji koriste korisnici Discorda. Nadalje, Skuld koristi tehniku sličnu drugoj infostealer-u koja se temelji na programskom jeziku Rust, gdje ubacuje JavaScript kod u aplikaciju Discord kako bi izdvojio pričuvne kodove. Ova tehnika naglašava sofisticiranu prirodu Skuldovih mogućnosti prikupljanja informacija i njegovu namjeru da ugrozi korisničke račune i pristupi dodatnim povjerljivim informacijama.

Zlonamjerni softver Skuld može izvršiti dodatne prijeteće aktivnosti

Određeni uzorci zlonamjernog softvera Skuld pokazali su uključivanje modula klipera koji je dizajniran za manipuliranje sadržajem međuspremnika. Ovaj modul omogućuje Skuldu da se uključi u krađu kriptovalute zamjenom adresa novčanika za kriptovalute onima koje kontroliraju napadači. Moguće je da je kliper modul vjerojatno još uvijek u razvoju, što ukazuje na potencijalna buduća poboljšanja Skuldovih sposobnosti u krađi imovine kriptovalute.

Eksfiltracija prikupljenih podataka postiže se kroz dvije osnovne metode. Prvo, zlonamjerni softver koristi Discord webhook kojim upravlja glumac, omogućujući napadačima da prenesu ukradene informacije svojoj infrastrukturi. Alternativno, Skuld koristi uslugu učitavanja Gofile, učitavajući prikupljene podatke kao ZIP datoteku. U ovom slučaju, referentni URL za pristup učitanoj ZIP datoteci koja sadrži eksfiltrirane podatke šalje se napadaču pomoću iste funkcije Discord webhook.

Prisutnost Skulda i njegovih značajki koje se razvijaju pokazuju rastući trend među akterima prijetnji da koriste programski jezik Go. Go-ova jednostavnost, učinkovitost i kompatibilnost s više platformi učinile su ga atraktivnim izborom za napadače. Korištenjem Goa akteri prijetnji mogu ciljati više operativnih sustava i proširiti svoju potencijalnu grupu žrtava, naglašavajući potrebu za snažnim sigurnosnim mjerama na različitim platformama.