Skuld Malware

Um novo malware de coleta de informações chamado Skuld, escrito na linguagem de programação Go, comprometeu com sucesso os sistemas Windows na Europa, Sudeste Asiático e Estados Unidos.

Skuld é projetado especificamente para roubar informações confidenciais de suas vítimas. Para isso, emprega várias técnicas, incluindo a busca de dados em aplicativos como Discord e navegadores da Web, além da extração de informações do próprio sistema e de arquivos armazenados nas pastas da vítima.

Curiosamente, Skuld exibe semelhanças com outros coletores de informações publicamente disponíveis, como o Creal Stealer, o Luna Grabber e o BlackCap Grabber. Essas características sobrepostas sugerem possíveis conexões ou códigos compartilhados entre esses tipos de malware. Acredita-se que Skuld seja a criação de um desenvolvedor que opera sob o pseudônimo online Deathined.

O Skuld Malware pode Encerrar Processos Predeterminados no Sistema Violado

Após sua execução, o Skuld malware emprega várias técnicas de evasão para impedir a análise, inclusive verificando se está sendo executado em um ambiente virtual. Isso é feito para dificultar os esforços dos pesquisadores para entender seu comportamento e funcionalidade. Além disso, Skuld extrai uma lista de processos atualmente em execução no sistema infectado e a compara com uma lista de bloqueio predefinida. Se algum processo corresponder aos presentes na lista de bloqueio, em vez de se encerrar, Skuld procederá para encerrar o processo correspondente, potencialmente com o objetivo de neutralizar as medidas de segurança ou impedir a detecção.

Além de coletar metadados do sistema, Skuld possui a capacidade de coletar informações valiosas, como cookies e credenciais armazenadas em navegadores da Web. Ele também tem como alvo arquivos específicos localizados nas pastas de perfil de usuário do Windows, incluindo Área de Trabalho, Documentos, Downloads, Imagens, Música, Vídeos e OneDrive. Ao direcionar essas pastas, Skuld visa acessar e potencialmente exfiltrar dados confidenciais do usuário, incluindo arquivos pessoais e documentos fundamentais.

A análise dos artefatos do malware revelou sua intenção deliberada de corromper arquivos legítimos associados ao Better Discord e ao Discord Token Protector. Essa atividade ameaçadora sugere uma tentativa de interromper o funcionamento do software legítimo usado pelos usuários do Discord. Além disso, Skuld emprega uma técnica semelhante a outro infostealer baseado na linguagem de programação Rust, onde injeta código JavaScript no aplicativo Discord para extrair códigos de backup. Essa técnica ressalta a natureza sofisticada dos recursos de coleta de informações de Skuld e sua intenção de comprometer contas de usuários e acessar informações confidenciais adicionais.

O Skuld Malware pode Executar Atividades Ameaçadoras Adicionais

Certas amostras do malware Skuld demonstraram a inclusão de um módulo clipper, projetado para manipular o conteúdo da área de transferência. Este módulo permite que Skuld se envolva em roubo de cripto-moedas, substituindo endereços de carteira de cripto-moedas por aqueles controlados pelos invasores. É possível que o módulo clipper ainda esteja em desenvolvimento, indicando possíveis aprimoramentos futuros nas capacidades de Skuld em roubar ativos de cripto-moeda.

A exfiltração dos dados coletados é obtida por meio de dois métodos principais. Em primeiro lugar, o malware utiliza um webhook Discord controlado por ator, permitindo que os invasores transmitam as informações roubadas para sua infraestrutura. Alternativamente, Skuld utiliza o serviço de upload Gofile, carregando os dados coletados como um arquivo ZIP. Nesse caso, um URL de referência para acessar o arquivo ZIP carregado contendo os dados exfiltrados é enviado ao invasor usando a mesma funcionalidade de webhook do Discord.

A presença de Skuld e seus recursos em evolução mostram uma tendência crescente entre os agentes de ameaças de utilizar a linguagem de programação Go. A simplicidade, eficiência e compatibilidade entre plataformas do Go o tornaram uma escolha atraente para os invasores. Ao aproveitar o Go, os agentes de ameaças podem atingir vários sistemas operacionais e expandir seu grupo de vítimas em potencial, destacando a necessidade de medidas de segurança robustas em várias plataformas.