Skuld-malware

Een nieuwe informatieverzamelende malware genaamd Skuld, geschreven in de Go-programmeertaal, heeft met succes Windows-systemen in Europa, Zuidoost-Azië en de VS gecompromitteerd

Skuld is speciaal ontworpen om gevoelige informatie van zijn slachtoffers te stelen. Om dit te bereiken, maakt het gebruik van verschillende technieken, waaronder het zoeken naar gegevens binnen applicaties zoals Discord en webbrowsers, evenals het extraheren van informatie uit het systeem zelf en bestanden die zijn opgeslagen in de mappen van het slachtoffer.

Interessant is dat Skuld overeenkomsten vertoont met andere openbaar beschikbare informatieverzamelaars, zoals de Creal Stealer, de Luna Grabber en de BlackCap Grabber. Deze overlappende kenmerken suggereren mogelijke verbindingen of gedeelde code tussen deze malwarestammen. Skuld wordt verondersteld de creatie te zijn van een ontwikkelaar die opereert onder het online pseudoniem Deathined.

De Skuld-malware kan vooraf bepaalde processen op het geschonden systeem beëindigen

Bij uitvoering gebruikt de Skuld-malware verschillende ontwijkingstechnieken om analyse te belemmeren, waaronder het controleren of deze in een virtuele omgeving wordt uitgevoerd. Dit wordt gedaan om de inspanningen van onderzoekers om het gedrag en de functionaliteit ervan te begrijpen, te belemmeren. Bovendien extraheert Skuld een lijst met lopende processen op het geïnfecteerde systeem en vergelijkt deze met een vooraf gedefinieerde blokkeerlijst. Als een proces overeenkomt met de processen in de blokkeerlijst, gaat Skuld, in plaats van zichzelf te beëindigen, verder met het beëindigen van het gekoppelde proces, mogelijk met als doel beveiligingsmaatregelen te neutraliseren of detectie te belemmeren.

Naast het verzamelen van systeemmetadata, beschikt Skuld over de mogelijkheid om waardevolle informatie te verzamelen, zoals cookies en inloggegevens die zijn opgeslagen in webbrowsers. Het richt zich ook op specifieke bestanden in de mappen van het Windows-gebruikersprofiel, waaronder Desktop, Documenten, Downloads, Afbeeldingen, Muziek, Video's en OneDrive. Door zich op deze mappen te richten, probeert Skuld toegang te krijgen tot gevoelige gebruikersgegevens, waaronder persoonlijke bestanden en fundamentele documenten, en deze mogelijk te exfiltreren.

Analyse van de artefacten van de malware heeft zijn opzettelijke bedoeling onthuld om legitieme bestanden te beschadigen die verband houden met Better Discord en Discord Token Protector. Deze bedreigende activiteit suggereert een poging om de werking van legitieme software die door Discord-gebruikers wordt gebruikt, te verstoren. Bovendien gebruikt Skuld een techniek die vergelijkbaar is met een andere infostealer op basis van de programmeertaal Rust, waarbij het JavaScript-code in de Discord-toepassing injecteert om back-upcodes te extraheren. Deze techniek onderstreept de geavanceerde aard van de mogelijkheden van Skuld om informatie te verzamelen en zijn intentie om gebruikersaccounts in gevaar te brengen en toegang te krijgen tot aanvullende vertrouwelijke informatie.

De Skuld-malware kan aanvullende bedreigende activiteiten uitvoeren

Bepaalde voorbeelden van de Skuld-malware hebben de opname van een clipper-module aangetoond, die is ontworpen om de inhoud van het klembord te manipuleren. Met deze module kan Skuld cryptocurrency-diefstal plegen door adressen van cryptocurrency-portemonnees te vervangen door de adressen die door de aanvallers worden beheerd. Het is mogelijk dat de clipper-module waarschijnlijk nog in ontwikkeling is, wat wijst op mogelijke toekomstige verbeteringen van de mogelijkheden van Skuld bij het stelen van cryptocurrency-activa.

De exfiltratie van de verzamelde gegevens wordt bereikt via twee primaire methoden. Ten eerste maakt de malware gebruik van een door een actor bestuurde Discord-webhook, waardoor de aanvallers de gestolen informatie naar hun infrastructuur kunnen verzenden. Als alternatief gebruikt Skuld de Gofile-uploadservice, waarbij de verzamelde gegevens als een ZIP-bestand worden geüpload. In dit geval wordt een referentie-URL voor toegang tot het geüploade ZIP-bestand met de geëxfiltreerde gegevens naar de aanvaller verzonden met dezelfde Discord-webhook-functionaliteit.

De aanwezigheid van Skuld en zijn evoluerende functies tonen een groeiende trend onder bedreigingsactoren om de Go-programmeertaal te gebruiken. De eenvoud, efficiëntie en platformonafhankelijke compatibiliteit van Go hebben het tot een aantrekkelijke keuze gemaakt voor aanvallers. Door gebruik te maken van Go kunnen bedreigingsactoren zich richten op meerdere besturingssystemen en hun potentiële slachtofferpool uitbreiden, wat de behoefte aan robuuste beveiligingsmaatregelen op verschillende platforms benadrukt.