Szkodliwe oprogramowanie

Nowe złośliwe oprogramowanie do zbierania informacji o nazwie Skuld, napisane w języku programowania Go, z powodzeniem włamało się do systemów Windows w Europie, Azji Południowo-Wschodniej i Stanach Zjednoczonych

Skuld jest specjalnie zaprojektowany do kradzieży poufnych informacji od swoich ofiar. W tym celu wykorzystuje różne techniki, w tym wyszukiwanie danych w aplikacjach takich jak Discord i przeglądarki internetowe, a także wydobywanie informacji z samego systemu i plików przechowywanych w folderach ofiary.

Co ciekawe, Skuld wykazuje podobieństwa do innych publicznie dostępnych kolektorów informacji, takich jak Creal Stealer, Luna Grabber i BlackCap Grabber. Te nakładające się cechy sugerują potencjalne powiązania lub wspólny kod między tymi szczepami złośliwego oprogramowania. Uważa się, że Skuld jest dziełem dewelopera działającego pod internetowym pseudonimem Deathined.

Szkodliwe oprogramowanie Skuld może przerwać z góry określone procesy w naruszonym systemie

Po wykonaniu złośliwe oprogramowanie Skuld wykorzystuje kilka technik unikania, aby utrudnić analizę, w tym sprawdzanie, czy działa w środowisku wirtualnym. Ma to na celu utrudnienie badaczom zrozumienia jego zachowania i funkcjonalności. Dodatkowo Skuld wyodrębnia listę aktualnie uruchomionych procesów w zainfekowanym systemie i porównuje ją z predefiniowaną listą blokad. Jeśli jakikolwiek proces odpowiada procesowi znajdującemu się na liście zablokowanych, Skuld zamiast kończyć się sam, przystępuje do zakończenia dopasowanego procesu, potencjalnie mając na celu zneutralizowanie środków bezpieczeństwa lub utrudnienie wykrycia.

Oprócz gromadzenia metadanych systemowych, Skuld ma możliwość zbierania cennych informacji, takich jak pliki cookie i dane uwierzytelniające przechowywane w przeglądarkach internetowych. Jego celem są również określone pliki znajdujące się w folderach profilu użytkownika systemu Windows, w tym Pulpit, Dokumenty, Pobrane, Obrazy, Muzyka, Wideo i OneDrive. Celując w te foldery, Skuld ma na celu uzyskanie dostępu do poufnych danych użytkownika, w tym plików osobistych i podstawowych dokumentów, oraz potencjalnie ich eksfiltrację.

Analiza artefaktów złośliwego oprogramowania ujawniła jego celowy zamiar uszkodzenia legalnych plików powiązanych z Better Discord i Discord Token Protector. Ta groźna aktywność sugeruje próbę zakłócenia działania legalnego oprogramowania używanego przez użytkowników Discorda. Co więcej, Skuld stosuje technikę podobną do innego narzędzia do kradzieży informacji opartego na języku programowania Rust, w którym wstrzykuje kod JavaScript do aplikacji Discord w celu wyodrębnienia kodów zapasowych. Technika ta podkreśla wyrafinowany charakter możliwości gromadzenia informacji przez Skuld i jego zamiar włamania się do kont użytkowników i uzyskania dostępu do dodatkowych poufnych informacji.

Szkodliwe oprogramowanie Skuld może wykonywać dodatkowe niebezpieczne działania

Niektóre próbki złośliwego oprogramowania Skuld wykazały obecność modułu clipper, który jest przeznaczony do manipulowania zawartością schowka. Ten moduł pozwala Skuldowi angażować się w kradzież kryptowalut poprzez zastępowanie adresów portfeli kryptowalut adresami kontrolowanymi przez atakujących. Możliwe, że moduł clipper jest nadal w fazie rozwoju, co wskazuje na potencjalne przyszłe ulepszenia możliwości Skulda w zakresie kradzieży aktywów kryptowalutowych.

Eksfiltracja zebranych danych odbywa się za pomocą dwóch podstawowych metod. Po pierwsze, złośliwe oprogramowanie wykorzystuje kontrolowany przez aktorów webhook Discord, umożliwiając atakującym przesyłanie wykradzionych informacji do ich infrastruktury. Alternatywnie Skuld korzysta z usługi przesyłania Gofile, przesyłając zebrane dane jako plik ZIP. W takim przypadku referencyjny adres URL umożliwiający dostęp do przesłanego pliku ZIP zawierającego wyekstrahowane dane jest wysyłany do atakującego przy użyciu tej samej funkcji elementu webhook Discord.

Obecność Skulda i jego ewoluujących funkcji świadczy o rosnącej wśród cyberprzestępców tendencji do wykorzystywania języka programowania Go. Prostota, wydajność i kompatybilność między platformami sprawiają, że Go jest atrakcyjnym wyborem dla atakujących. Wykorzystując Go, cyberprzestępcy mogą atakować wiele systemów operacyjnych i poszerzać pulę potencjalnych ofiar, podkreślając potrzebę solidnych środków bezpieczeństwa na różnych platformach.