Skuld Malware

En ny informasjonsinnhentende skadelig programvare kalt Skuld, skrevet i programmeringsspråket Go, har vellykket kompromittert Windows-systemer i Europa, Sørøst-Asia og USA

Skuld er spesielt utviklet for å stjele sensitiv informasjon fra ofrene. For å oppnå dette bruker den ulike teknikker, inkludert søk etter data i applikasjoner som Discord og nettlesere, i tillegg til å trekke ut informasjon fra selve systemet og filer som er lagret i offerets mapper.

Interessant nok viser Skuld likheter med andre offentlig tilgjengelige informasjonsinnsamlere, som Creal Stealer, Luna Grabber og BlackCap Grabber. Disse overlappende egenskapene antyder potensielle forbindelser eller delt kode blant disse skadevarestammene. Skuld antas å være opprettelsen av en utvikler som opererer under online-pseudonymet Deathined.

Skuld-skadelig programvare kan avslutte forhåndsbestemte prosesser på systemet som brytes

Ved kjøring bruker Skuld-malwaren flere unnvikelsesteknikker for å hindre analyse, inkludert å sjekke om den kjører i et virtuelt miljø. Dette gjøres for å hindre forskeres innsats for å forstå dens oppførsel og funksjonalitet. I tillegg trekker Skuld ut en liste over prosesser som kjører på det infiserte systemet og sammenligner den med en forhåndsdefinert blokkeringsliste. Hvis noen prosess samsvarer med de som er tilstede i blokkeringslisten, i stedet for å avslutte seg selv, fortsetter Skuld med å avslutte den matchede prosessen, potensielt med sikte på å nøytralisere sikkerhetstiltak eller hindre gjenkjenning.

I tillegg til å samle systemmetadata, har Skuld muligheten til å høste verdifull informasjon, som informasjonskapsler og legitimasjon lagret i nettlesere. Den retter seg også mot spesifikke filer som ligger i Windows-brukerprofilmappene, inkludert skrivebord, dokumenter, nedlastinger, bilder, musikk, videoer og OneDrive. Ved å målrette mot disse mappene har Skuld som mål å få tilgang til og potensielt eksfiltrere sensitive brukerdata, inkludert personlige filer og grunnleggende dokumenter.

Analyse av skadevarens artefakter har avslørt dens bevisste intensjon om å ødelegge legitime filer assosiert med Better Discord og Discord Token Protector. Denne truende aktiviteten antyder et forsøk på å forstyrre funksjonen til legitim programvare som brukes av Discord-brukere. Videre bruker Skuld en teknikk som ligner på en annen infostealer basert på programmeringsspråket Rust, der den injiserer JavaScript-kode i Discord-applikasjonen for å trekke ut sikkerhetskopikoder. Denne teknikken understreker den sofistikerte naturen til Skulds evne til å samle informasjon og dens intensjon om å kompromittere brukerkontoer og få tilgang til ytterligere konfidensiell informasjon.

Skuld Malware kan utføre ytterligere truende aktiviteter

Enkelte prøver av Skuld malware har vist inkludering av en clipper-modul, som er designet for å manipulere innholdet på utklippstavlen. Denne modulen lar Skuld engasjere seg i kryptovaluta-tyveri ved å erstatte kryptovaluta-lommebokadresser med de som kontrolleres av angriperne. Det er mulig at clipper-modulen sannsynligvis fortsatt er under utvikling, noe som indikerer potensielle fremtidige forbedringer av Skulds evner til å stjele kryptovaluta-eiendeler.

Eksfiltreringen av de innsamlede dataene oppnås gjennom to primære metoder. For det første utnytter skadevaren en aktørkontrollert Discord-webhook, som gjør det mulig for angriperne å overføre den stjålne informasjonen til deres infrastruktur. Alternativt bruker Skuld opplastingstjenesten Gofile, og laster opp de innsamlede dataene som en ZIP-fil. I dette tilfellet sendes en referanse-URL for å få tilgang til den opplastede ZIP-filen som inneholder de eksfiltrerte dataene, til angriperen ved å bruke den samme Discord webhook-funksjonaliteten.

Tilstedeværelsen av Skuld og dens utviklende funksjoner viser en økende trend blant trusselaktører til å bruke Go-programmeringsspråket. Gos enkelhet, effektivitet og kompatibilitet på tvers av plattformer har gjort det til et attraktivt valg for angripere. Ved å utnytte Go, kan trusselaktører målrette mot flere operativsystemer og utvide deres potensielle offerbase, noe som understreker behovet for robuste sikkerhetstiltak på tvers av ulike plattformer.