Skuld kenkėjiška programa
Nauja informaciją renkanti kenkėjiška programa „Skuld“, parašyta „Go“ programavimo kalba, sėkmingai palaužė „Windows“ sistemas Europoje, Pietryčių Azijoje ir JAV.
Skuld yra specialiai sukurta tam, kad pavogtų jautrią informaciją iš savo aukų. Norėdami tai padaryti, jis naudoja įvairius metodus, įskaitant duomenų paiešką tokiose programose kaip „Discord“ ir žiniatinklio naršyklės, taip pat informacijos ištraukimą iš pačios sistemos ir failų, saugomų aukos aplankuose.
Įdomu tai, kad „Skuld“ turi panašumų su kitais viešai prieinamais informacijos rinkėjais, tokiais kaip „Creal Stealer“, „Luna Grabber“ ir „BlackCap Grabber“. Šios sutampančios charakteristikos rodo galimus ryšius arba bendrą šių kenkėjiškų programų padermių kodą. Manoma, kad „Skuld“ yra kūrėjo, veikiančio internete slapyvardžiu Deathined, kūrinys.
Skuld kenkėjiška programa gali nutraukti iš anksto nustatytus procesus pažeistoje sistemoje
Vykdant kenkėjišką programą Skuld, naudojami keli vengimo būdai, trukdantys analizei, įskaitant patikrinimą, ar ji veikia virtualioje aplinkoje. Tai daroma siekiant trukdyti tyrėjams suprasti jo elgesį ir funkcionalumą. Be to, Skuld ištraukia šiuo metu užkrėstoje sistemoje veikiančių procesų sąrašą ir palygina jį su iš anksto nustatytu blokavimo sąrašu. Jei kuris nors procesas sutampa su esančiais blokavimo sąraše, užuot nutraukęs save, Skuld nutraukia suderintą procesą, galbūt siekdamas neutralizuoti saugos priemones arba trukdyti aptikimui.
Be sistemos metaduomenų rinkimo, „Skuld“ turi galimybę rinkti vertingą informaciją, pvz., slapukus ir žiniatinklio naršyklėse saugomus kredencialus. Ji taip pat taikoma tam tikriems failams, esantiems „Windows“ vartotojo profilio aplankuose, įskaitant darbalaukį, dokumentus, atsisiuntimus, paveikslėlius, muziką, vaizdo įrašus ir „OneDrive“. Taikydama šiuos aplankus, „Skuld“ siekia pasiekti ir potencialiai išfiltruoti neskelbtinus vartotojo duomenis, įskaitant asmeninius failus ir pagrindinius dokumentus.
Kenkėjiškos programos artefaktų analizė atskleidė jos tyčinį ketinimą sugadinti teisėtus failus, susijusius su „Better Discord“ ir „Discord Token Protector“. Ši grėsminga veikla rodo bandymą sutrikdyti „Discord“ vartotojų naudojamos teisėtos programinės įrangos veikimą. Be to, Skuld naudoja techniką, panašią į kitą infostealer, pagrįstą Rust programavimo kalba, kai į Discord programą įveda JavaScript kodą, kad išgautų atsarginius kodus. Ši technika pabrėžia sudėtingą Skuld informacijos rinkimo galimybių prigimtį ir ketinimą pažeisti vartotojų paskyras ir pasiekti papildomą konfidencialią informaciją.
„Skuld“ kenkėjiška programa gali vykdyti papildomą grėsmingą veiklą
Tam tikri Skuld kenkėjiškos programos pavyzdžiai parodė, kad yra kirpimo modulis, skirtas manipuliuoti iškarpinės turiniu. Šis modulis leidžia Skuld įsitraukti į kriptovaliutų vagystes, pakeičiant kriptovaliutų piniginės adresus tais, kuriuos valdo užpuolikai. Gali būti, kad kirpimo modulis greičiausiai vis dar kuriamas, o tai rodo galimus būsimus Skuld galimybių patobulinimus pavogti kriptovaliutų turtą.
Surinktų duomenų išfiltravimas pasiekiamas dviem pagrindiniais metodais. Pirma, kenkėjiška programa naudoja veikėjo valdomą „Discord Webhook“, leidžiantį užpuolikams perduoti apgautą informaciją į savo infrastruktūrą. Arba Skuld naudoja Gofile įkėlimo paslaugą, įkeldama surinktus duomenis kaip ZIP failą. Tokiu atveju užpuolikui, naudojant tą pačią „Discord Webhook“ funkciją, siunčiamas nuorodos URL, kad būtų galima pasiekti įkeltą ZIP failą, kuriame yra išfiltruoti duomenys.
„Skuld“ buvimas ir besikeičiančios jos funkcijos rodo, kad grėsmės veikėjai vis dažniau naudoja „Go“ programavimo kalbą. Dėl „Go“ paprastumo, efektyvumo ir kelių platformų suderinamumo jis tapo patraukliu pasirinkimu užpuolikams. Naudodami „Go“, grėsmės veikėjai gali nukreipti į kelias operacines sistemas ir išplėsti savo potencialių aukų grupę, pabrėždami, kad įvairiose platformose reikia tvirtų saugos priemonių.
