Skuld Malware
Un nou malware de colectare de informații numit Skuld, scris în limbajul de programare Go, a compromis cu succes sistemele Windows din Europa, Asia de Sud-Est și SUA
Skuld este special conceput pentru a fura informații sensibile de la victimele sale. Pentru a realiza acest lucru, folosește diverse tehnici, inclusiv căutarea de date în aplicații precum Discord și browsere web, precum și extragerea de informații din sistemul însuși și fișierele stocate în folderele victimei.
Interesant, Skuld prezintă asemănări cu alți colectori de informații disponibile public, cum ar fi Creal Stealer, Luna Grabber și BlackCap Grabber. Aceste caracteristici suprapuse sugerează conexiuni potențiale sau cod partajat între aceste tulpini de malware. Se crede că Skuld este creația unui dezvoltator care operează sub pseudonimul online Deathed.
Malware-ul Skuld poate încheia procese predeterminate pe sistemul încălcat
La executare, malware-ul Skuld folosește mai multe tehnici de evaziune pentru a împiedica analiza, inclusiv verificarea dacă rulează într-un mediu virtual. Acest lucru se face pentru a împiedica eforturile cercetătorilor de a înțelege comportamentul și funcționalitatea acestuia. În plus, Skuld extrage o listă de procese care rulează în prezent pe sistemul infectat și o compară cu o listă de blocare predefinită. Dacă vreun proces se potrivește cu cei prezenți în lista de blocare, în loc să se încheie singur, Skuld procedează la încheierea procesului potrivit, urmărind potențial să neutralizeze măsurile de securitate sau să împiedice detectarea.
Pe lângă colectarea metadatelor de sistem, Skuld are capacitatea de a colecta informații valoroase, cum ar fi cookie-uri și acreditări stocate în browserele web. De asemenea, vizează fișiere specifice situate în folderele de profil de utilizator Windows, inclusiv Desktop, Documente, Descărcări, Imagini, Muzică, Videoclipuri și OneDrive. Prin țintirea acestor foldere, Skuld urmărește să acceseze și potențial să exfiltreze date sensibile ale utilizatorilor, inclusiv fișiere personale și documente fundamentale.
Analiza artefactelor malware-ului a dezvăluit intenția sa deliberată de a corupe fișierele legitime asociate cu Better Discord și Discord Token Protector. Această activitate amenințătoare sugerează o încercare de a perturba funcționarea software-ului legitim utilizat de utilizatorii Discord. În plus, Skuld folosește o tehnică similară unui alt infostealer bazat pe limbajul de programare Rust, în care injectează cod JavaScript în aplicația Discord pentru a extrage coduri de rezervă. Această tehnică subliniază natura sofisticată a capabilităților Skuld de culegere de informații și intenția sa de a compromite conturile de utilizator și de a accesa informații confidențiale suplimentare.
Programul malware Skuld poate executa activități suplimentare amenințătoare
Anumite mostre de malware Skuld au demonstrat includerea unui modul clipper, care este conceput pentru a manipula conținutul clipboard-ului. Acest modul îi permite lui Skuld să se angajeze în furtul de criptomonede prin înlocuirea adreselor portofelului de criptomonede cu cele controlate de atacatori. Este posibil ca modulul clipper să fie probabil încă în curs de dezvoltare, ceea ce indică potențiale îmbunătățiri viitoare ale capabilităților Skuld de a fura activele criptomonede.
Exfiltrarea datelor colectate se realizează prin două metode primare. În primul rând, malware-ul folosește un webhook Discord controlat de actor, permițând atacatorilor să transmită informațiile furate către infrastructura lor. Alternativ, Skuld utilizează serviciul de încărcare Gofile, încărcând datele colectate ca fișier ZIP. În acest caz, o adresă URL de referință pentru a accesa fișierul ZIP încărcat care conține datele exfiltrate este trimisă atacatorului folosind aceeași funcționalitate webhook Discord.
Prezența lui Skuld și a caracteristicilor sale în evoluție arată o tendință în creștere în rândul actorilor amenințărilor de a utiliza limbajul de programare Go. Simplitatea, eficiența și compatibilitatea între platforme Go au făcut din Go o alegere atractivă pentru atacatori. Folosind Go, actorii amenințărilor pot viza mai multe sisteme de operare și își pot extinde grupul de victime potențiale, evidențiind necesitatea unor măsuri de securitate robuste pe diferite platforme.
