Skuld Malware

Un nuovo malware per la raccolta di informazioni chiamato Skuld, scritto nel linguaggio di programmazione Go, ha compromesso con successo i sistemi Windows in Europa, nel sud-est asiatico e negli Stati Uniti

Skuld è specificamente progettato per rubare informazioni sensibili dalle sue vittime. A tal fine, utilizza varie tecniche, inclusa la ricerca di dati all'interno di applicazioni come Discord e browser Web, nonché l'estrazione di informazioni dal sistema stesso e dai file archiviati nelle cartelle della vittima.

È interessante notare che Skuld mostra somiglianze con altri raccoglitori di informazioni pubblicamente disponibili, come Creal Stealer, Luna Grabber e BlackCap Grabber. Queste caratteristiche sovrapposte suggeriscono potenziali connessioni o codice condiviso tra questi ceppi di malware. Si ritiene che Skuld sia la creazione di uno sviluppatore che opera sotto lo pseudonimo online di Deathined.

Il malware Skuld può terminare processi predeterminati sul sistema violato

Al momento dell'esecuzione, il malware Skuld utilizza diverse tecniche di evasione per impedire l'analisi, incluso il controllo se è in esecuzione all'interno di un ambiente virtuale. Questo viene fatto per ostacolare gli sforzi dei ricercatori per comprenderne il comportamento e la funzionalità. Inoltre, Skuld estrae un elenco di processi attualmente in esecuzione sul sistema infetto e lo confronta con un elenco di blocco predefinito. Se un processo corrisponde a quelli presenti nella blocklist, invece di terminare se stesso, Skuld procede a terminare il processo abbinato, mirando potenzialmente a neutralizzare le misure di sicurezza o ostacolare il rilevamento.

Oltre a raccogliere metadati di sistema, Skuld possiede la capacità di raccogliere informazioni preziose, come cookie e credenziali memorizzate nei browser web. Si rivolge anche a file specifici che si trovano nelle cartelle del profilo utente di Windows, inclusi Desktop, Documenti, Download, Immagini, Musica, Video e OneDrive. Prendendo di mira queste cartelle, Skuld mira ad accedere e potenzialmente a esfiltrare i dati sensibili degli utenti, inclusi file personali e documenti fondamentali.

L'analisi degli artefatti del malware ha rivelato la sua deliberata intenzione di corrompere i file legittimi associati a Better Discord e Discord Token Protector. Questa attività minacciosa suggerisce un tentativo di interrompere il funzionamento del software legittimo utilizzato dagli utenti di Discord. Inoltre, Skuld utilizza una tecnica simile a un altro infostealer basato sul linguaggio di programmazione Rust, in cui inserisce codice JavaScript nell'applicazione Discord per estrarre i codici di backup. Questa tecnica sottolinea la natura sofisticata delle capacità di raccolta di informazioni di Skuld e la sua intenzione di compromettere gli account degli utenti e accedere a ulteriori informazioni riservate.

Il malware Skuld può eseguire ulteriori attività minacciose

Alcuni campioni del malware Skuld hanno dimostrato l'inclusione di un modulo clipper, progettato per manipolare il contenuto degli appunti. Questo modulo consente a Skuld di impegnarsi nel furto di criptovaluta sostituendo gli indirizzi del portafoglio di criptovaluta con quelli controllati dagli aggressori. È possibile che il modulo clipper sia ancora in fase di sviluppo, il che indica potenziali miglioramenti futuri delle capacità di Skuld nel furto di risorse di criptovaluta.

L'esfiltrazione dei dati raccolti si ottiene attraverso due metodi principali. In primo luogo, il malware sfrutta un webhook Discord controllato dall'attore, consentendo agli aggressori di trasmettere le informazioni rubate alla loro infrastruttura. In alternativa, Skuld utilizza il servizio di caricamento di Gofile, caricando i dati raccolti come file ZIP. In questo caso, un URL di riferimento per accedere al file ZIP caricato contenente i dati esfiltrati viene inviato all'attaccante utilizzando la stessa funzionalità webhook di Discord.

La presenza di Skuld e delle sue funzionalità in evoluzione mostra una tendenza crescente tra gli attori delle minacce a utilizzare il linguaggio di programmazione Go. La semplicità, l'efficienza e la compatibilità multipiattaforma di Go lo hanno reso una scelta attraente per gli aggressori. Sfruttando Go, gli attori delle minacce possono prendere di mira più sistemi operativi ed espandere il loro potenziale pool di vittime, evidenziando la necessità di solide misure di sicurezza su varie piattaforme.