Skuld Malware

A Go programozási nyelven írt új információgyűjtő kártevő, a Skuld sikeresen feltörte a Windows rendszereket Európában, Délkelet-Ázsiában és az Egyesült Államokban.

A Skuldot kifejezetten arra tervezték, hogy érzékeny információkat lopjon el áldozataitól. Ennek elérése érdekében különféle technikákat alkalmaz, beleértve az adatok keresését olyan alkalmazásokban, mint a Discord és a webböngészők, valamint magából a rendszerből és az áldozat mappáiban tárolt fájlokból származó információkat.

Érdekes módon a Skuld hasonlóságot mutat más nyilvánosan elérhető információgyűjtőkkel, mint például a Creal Stealer, a Luna Grabber és a BlackCap Grabber. Ezek az átfedő jellemzők potenciális kapcsolatokra vagy megosztott kódokra utalnak ezen kártevőtörzsek között. Úgy gondolják, hogy a Skuld egy Deathined online álnéven működő fejlesztő alkotása.

A Skuld rosszindulatú program leállíthat előre meghatározott folyamatokat a feltört rendszeren

A Skuld kártevő végrehajtása során számos kijátszási technikát alkalmaz az elemzés akadályozására, beleértve annak ellenőrzését, hogy virtuális környezetben fut-e. Ennek célja, hogy megakadályozza a kutatók erőfeszítéseit, hogy megértsék a viselkedését és működését. Ezenkívül a Skuld kibontja a fertőzött rendszeren futó folyamatok listáját, és összehasonlítja azt egy előre meghatározott tiltólistával. Ha bármely folyamat megegyezik a tiltólistán szereplőkkel, a Skuld ahelyett, hogy önmagát fejezné be, leállítja az egyeztetett folyamatot, potenciálisan a biztonsági intézkedések hatástalanítása vagy az észlelés akadályozása érdekében.

A rendszer-metaadatok gyűjtése mellett a Skuld képes értékes információkat gyűjteni, például cookie-kat és a webböngészőkben tárolt hitelesítő adatokat. Ezenkívül megcélozza a Windows felhasználói profil mappáiban található bizonyos fájlokat, beleértve az Asztal, a Dokumentumok, a Letöltések, a Képek, a Zenék, a Videók és a OneDrive-okat. Ezen mappák megcélzásával a Skuld arra törekszik, hogy hozzáférjen és potenciálisan kiszűrje az érzékeny felhasználói adatokat, beleértve a személyes fájlokat és az alapvető dokumentumokat.

A rosszindulatú program műtermékeinek elemzése felfedte, hogy szándékosan szándékos megrontani a Better Discord és a Discord Token Protector programokkal kapcsolatos legitim fájlokat. Ez a fenyegető tevékenység arra utal, hogy megpróbálják megzavarni a Discord-felhasználók által használt legális szoftverek működését. Ezenkívül a Skuld egy másik, Rust programozási nyelven alapuló infostealerhez hasonló technikát alkalmaz, ahol JavaScript kódot fecskendez be a Discord alkalmazásba, hogy kinyerje a biztonsági kódokat. Ez a technika aláhúzza a Skuld információgyűjtési képességeinek kifinomult természetét, valamint azt a szándékát, hogy kompromittálja a felhasználói fiókokat és hozzáférjen további bizalmas információkhoz.

A Skuld Malware további fenyegető tevékenységeket hajthat végre

A Skuld rosszindulatú program egyes mintái egy vágómodul beépítését mutatták be, amely a vágólap tartalmának manipulálására szolgál. Ez a modul lehetővé teszi a Skuld számára, hogy kriptovaluta-lopásban vegyen részt azáltal, hogy a kriptovaluta pénztárca címét a támadók által irányított címekre cseréli. Lehetséges, hogy a clipper modul valószínűleg még fejlesztés alatt áll, ami azt jelzi, hogy a Skuld kriptovaluta eszközök eltulajdonítására vonatkozó képességei várhatóan a jövőben tovább fejlődhetnek.

Az összegyűjtött adatok kiszűrése két elsődleges módszerrel történik. Először is, a rosszindulatú program egy színész által vezérelt Discord webhookot használ, amely lehetővé teszi a támadók számára, hogy továbbítsák az ellopott információkat az infrastruktúrájukba. Alternatív megoldásként a Skuld a Gofile feltöltési szolgáltatást használja, és az összegyűjtött adatokat ZIP-fájlként tölti fel. Ebben az esetben a kiszűrt adatokat tartalmazó feltöltött ZIP-fájl eléréséhez szükséges hivatkozási URL-t elküldik a támadónak ugyanazzal a Discord webhook-funkcióval.

A Skuld jelenléte és fejlődő funkciói azt jelzik, hogy a fenyegetés szereplői körében egyre nagyobb tendencia van a Go programozási nyelv használatára. A Go egyszerűsége, hatékonysága és platformok közötti kompatibilitása vonzó választássá tette a támadók számára. A Go kihasználásával a fenyegetés szereplői több operációs rendszert is megcélozhatnak, és kibővíthetik potenciális áldozati körét, rávilágítva arra, hogy a különböző platformokon robusztus biztonsági intézkedésekre van szükség.