Skuld ļaunprātīga programmatūra
Jauna informācijas vākšanas ļaunprogrammatūra Skuld, kas rakstīta Go programmēšanas valodā, ir veiksmīgi apdraudējusi Windows sistēmas Eiropā, Dienvidaustrumāzijā un ASV.
Skuld ir īpaši izstrādāts, lai izlaupītu sensitīvu informāciju no upuriem. Lai to paveiktu, tas izmanto dažādas metodes, tostarp datu meklēšanu lietojumprogrammās, piemēram, Discord un tīmekļa pārlūkprogrammās, kā arī informācijas izgūšanu no pašas sistēmas un failiem, kas glabājas upura mapēs.
Interesanti, ka Skuld uzrāda līdzības ar citiem publiski pieejamiem informācijas vācējiem, piemēram, Creal Stealer, Luna Grabber un BlackCap Grabber. Šie pārklājošie raksturlielumi liecina par iespējamiem savienojumiem vai kopīgu kodu starp šiem ļaunprātīgas programmatūras celmiem. Tiek uzskatīts, ka Skuld ir izstrādātājs, kurš darbojas ar tiešsaistes pseidonīmu Deathined.
Skuld ļaunprogrammatūra var pārtraukt iepriekš noteiktus procesus bojātajā sistēmā
Pēc izpildes ļaunprogrammatūra Skuld izmanto vairākus izvairīšanās paņēmienus, lai kavētu analīzi, tostarp pārbauda, vai tā darbojas virtuālajā vidē. Tas tiek darīts, lai kavētu pētnieku centienus izprast tā uzvedību un funkcionalitāti. Turklāt Skuld izvelk inficētajā sistēmā pašlaik darbojošos procesu sarakstu un salīdzina to ar iepriekš noteiktu bloķēšanas sarakstu. Ja kāds process atbilst bloķētajā sarakstā esošajiem, Skuld tā vietā, lai pārtrauktu sevi, pārtrauks atbilstošo procesu, iespējams, cenšoties neitralizēt drošības pasākumus vai kavēt atklāšanu.
Papildus sistēmas metadatu apkopošanai, Skuld ir iespēja iegūt vērtīgu informāciju, piemēram, sīkfailus un tīmekļa pārlūkprogrammās saglabātos akreditācijas datus. Tas attiecas arī uz konkrētiem failiem, kas atrodas Windows lietotāja profila mapēs, tostarp darbvirsmu, dokumentus, lejupielādes, attēlus, mūziku, videoklipus un OneDrive. Atlasot šīs mapes, Skuld mērķis ir piekļūt un, iespējams, izfiltrēt sensitīvus lietotāju datus, tostarp personas failus un pamatdokumentus.
Ļaunprātīgās programmatūras artefaktu analīze atklāja tās apzināto nodomu sabojāt likumīgus failus, kas saistīti ar Better Discord un Discord Token Protector. Šī draudošā darbība liecina par mēģinājumu traucēt Discord lietotāju izmantotās likumīgās programmatūras darbību. Turklāt Skuld izmanto metodi, kas ir līdzīga citam infostealer, kuras pamatā ir Rust programmēšanas valoda, kur tas ievada JavaScript kodu lietojumprogrammā Discord, lai iegūtu rezerves kodus. Šis paņēmiens uzsver Skuld informācijas vākšanas iespēju izsmalcinātību un tā nodomu apdraudēt lietotāju kontus un piekļūt papildu konfidenciālai informācijai.
Skuld ļaunprogrammatūra var veikt papildu apdraudošas darbības
Atsevišķos ļaunprogrammatūras Skuld paraugos ir parādīts, ka ir iekļauts griešanas modulis, kas paredzēts, lai manipulētu ar starpliktuves saturu. Šis modulis ļauj Skuld iesaistīties kriptovalūtas zādzībās, aizstājot kriptovalūtas maka adreses ar tām, kuras kontrolē uzbrucēji. Iespējams, ka klipera modulis, visticamāk, joprojām tiek izstrādāts, norādot uz iespējamiem turpmākiem uzlabojumiem Skuld spēju zagt kriptovalūtas aktīvus.
Savākto datu eksfiltrācija tiek panākta, izmantojot divas primārās metodes. Pirmkārt, ļaunprogrammatūra izmanto aktiera kontrolētu Discord tīmekļa aizķeri, ļaujot uzbrucējiem pārsūtīt nozagto informāciju uz viņu infrastruktūru. Alternatīvi, Skuld izmanto Gofile augšupielādes pakalpojumu, augšupielādējot savāktos datus kā ZIP failu. Šādā gadījumā uzbrucējam tiek nosūtīts atsauces URL, lai piekļūtu augšupielādētajam ZIP failam, kurā ir izfiltrētie dati, izmantojot to pašu Discord tīmekļa aizķeres funkcionalitāti.
Skuld klātbūtne un tās mainīgās funkcijas liecina par pieaugošu tendenci draudu dalībnieku vidū izmantot Go programmēšanas valodu. Go vienkāršība, efektivitāte un vairāku platformu saderība ir padarījusi to par pievilcīgu izvēli uzbrucējiem. Izmantojot Go, apdraudējuma dalībnieki var mērķēt uz vairākām operētājsistēmām un paplašināt savu potenciālo upuru kopumu, uzsverot vajadzību pēc stingriem drošības pasākumiem dažādās platformās.
