Skuld Malware

Satu perisian hasad pengumpul maklumat baharu yang dipanggil Skuld, yang ditulis dalam bahasa pengaturcaraan Go, telah berjaya menjejaskan sistem Windows di Eropah, Asia Tenggara dan AS

Skuld direka khusus untuk mencuri maklumat sensitif daripada mangsanya. Untuk mencapai matlamat ini, ia menggunakan pelbagai teknik, termasuk mencari data dalam aplikasi seperti Discord dan penyemak imbas Web, serta mengekstrak maklumat daripada sistem itu sendiri dan fail yang disimpan dalam folder mangsa.

Menariknya, Skuld mempamerkan persamaan dengan pengumpul maklumat awam lain, seperti Creal Stealer, Luna Grabber dan BlackCap Grabber. Ciri-ciri bertindih ini mencadangkan sambungan yang berpotensi atau kod kongsi antara jenis perisian hasad ini. Skuld dipercayai merupakan ciptaan pembangun yang beroperasi di bawah nama samaran dalam talian Deathined.

Perisian Hasad Skuld Boleh Menamatkan Proses yang Ditetapkan pada Sistem yang Dilanggar

Selepas pelaksanaan, perisian hasad Skuld menggunakan beberapa teknik pengelakan untuk menghalang analisis, termasuk menyemak sama ada ia berjalan dalam persekitaran maya. Ini dilakukan untuk menghalang usaha penyelidik untuk memahami tingkah laku dan fungsinya. Selain itu, Skuld mengekstrak senarai proses yang sedang berjalan pada sistem yang dijangkiti dan membandingkannya dengan senarai sekatan yang telah ditetapkan. Jika mana-mana proses sepadan dengan proses yang terdapat dalam senarai sekat, bukannya menamatkan sendiri, Skuld meneruskan untuk menamatkan proses yang dipadankan, yang berpotensi bertujuan untuk meneutralkan langkah keselamatan atau menghalang pengesanan.

Selain mengumpul metadata sistem, Skuld mempunyai keupayaan untuk mengumpul maklumat berharga, seperti kuki dan bukti kelayakan yang disimpan dalam pelayar Web. Ia juga menyasarkan fail khusus yang terdapat dalam folder profil pengguna Windows, termasuk Desktop, Dokumen, Muat Turun, Gambar, Muzik, Video dan OneDrive. Dengan menyasarkan folder ini, Skuld menyasarkan untuk mengakses dan berpotensi mengeluarkan data pengguna sensitif, termasuk fail peribadi dan dokumen asas.

Analisis artifak perisian hasad telah mendedahkan niatnya yang sengaja untuk merosakkan fail sah yang dikaitkan dengan Better Discord dan Discord Token Protector. Aktiviti mengancam ini mencadangkan percubaan untuk mengganggu fungsi perisian sah yang digunakan oleh pengguna Discord. Tambahan pula, Skuld menggunakan teknik yang serupa dengan infostealer lain berdasarkan bahasa pengaturcaraan Rust, di mana ia menyuntik kod JavaScript ke dalam aplikasi Discord untuk mengekstrak kod sandaran. Teknik ini menekankan sifat canggih keupayaan pengumpulan maklumat Skuld dan niatnya untuk menjejaskan akaun pengguna dan mengakses maklumat sulit tambahan.

Skuld Malware mungkin Melaksanakan Aktiviti Mengancam Tambahan

Sampel tertentu perisian hasad Skuld telah menunjukkan kemasukan modul penggunting, yang direka bentuk untuk memanipulasi kandungan papan keratan. Modul ini membolehkan Skuld terlibat dalam kecurian mata wang kripto dengan menggantikan alamat dompet mata wang kripto dengan alamat yang dikawal oleh penyerang. Ada kemungkinan bahawa modul clipper berkemungkinan masih dalam pembangunan, menunjukkan potensi peningkatan masa depan kepada keupayaan Skuld dalam mencuri aset mata wang kripto.

Penyingkiran data yang dikumpul dicapai melalui dua kaedah utama. Pertama, perisian hasad memanfaatkan webhook Discord yang dikawal pelakon, membolehkan penyerang menghantar maklumat yang dicuri ke infrastruktur mereka. Sebagai alternatif, Skuld menggunakan perkhidmatan muat naik Gofile, memuat naik data yang dikumpul sebagai fail ZIP. Dalam kes ini, URL rujukan untuk mengakses fail ZIP yang dimuat naik yang mengandungi data exfiltrated dihantar kepada penyerang menggunakan fungsi webhook Discord yang sama.

Kehadiran Skuld dan ciri-cirinya yang berkembang mempamerkan trend yang semakin meningkat dalam kalangan pelaku ancaman untuk menggunakan bahasa pengaturcaraan Go. Kesederhanaan, kecekapan dan keserasian merentas platform Go telah menjadikannya pilihan yang menarik untuk penyerang. Dengan memanfaatkan Go, pelaku ancaman boleh menyasarkan berbilang sistem pengendalian dan mengembangkan kumpulan mangsa berpotensi mereka, menyerlahkan keperluan untuk langkah keselamatan yang teguh merentas pelbagai platform.