Вредоносное ПО Skuld

Новое вредоносное ПО для сбора информации под названием Skuld, написанное на языке программирования Go, успешно взломало системы Windows в Европе, Юго-Восточной Азии и США.

Skuld специально разработан для кражи конфиденциальной информации от своих жертв. Для этого он использует различные методы, в том числе поиск данных в таких приложениях, как Discord и веб-браузерах, а также извлечение информации из самой системы и файлов, хранящихся в папках жертвы.

Интересно, что Skuld имеет сходство с другими общедоступными сборщиками информации, такими как Creal Stealer, Luna Grabber и BlackCap Grabber. Эти перекрывающиеся характеристики предполагают потенциальные связи или общий код среди этих штаммов вредоносных программ. Считается, что Skuld является детищем разработчика, работающего под онлайн-псевдонимом Deathined.

Вредоносное ПО Skuld может завершать заранее определенные процессы в системе, где произошел сбой

После запуска вредоносная программа Skuld использует несколько методов уклонения, чтобы помешать анализу, в том числе проверяет, работает ли она в виртуальной среде. Это делается для того, чтобы помешать исследователям понять его поведение и функциональность. Кроме того, Skuld извлекает список запущенных в данный момент процессов в зараженной системе и сравнивает его с предопределенным черным списком. Если какой-либо процесс соответствует тем, которые присутствуют в черном списке, Skuld вместо того, чтобы завершать себя, продолжает завершать соответствующий процесс, потенциально стремясь нейтрализовать меры безопасности или затруднить обнаружение.

В дополнение к сбору системных метаданных Skuld обладает способностью собирать ценную информацию, такую как файлы cookie и учетные данные, хранящиеся в веб-браузерах. Он также нацелен на определенные файлы, расположенные в папках профиля пользователя Windows, включая «Рабочий стол», «Документы», «Загрузки», «Изображения», «Музыка», «Видео» и «OneDrive». Нацелившись на эти папки, Skuld стремится получить доступ к конфиденциальным пользовательским данным, включая личные файлы и основные документы, и потенциально украсть их.

Анализ артефактов вредоносного ПО выявил его преднамеренное намерение повредить законные файлы, связанные с Better Discord и Discord Token Protector. Эта угрожающая деятельность предполагает попытку нарушить работу законного программного обеспечения, используемого пользователями Discord. Кроме того, Skuld использует метод, аналогичный другому информационному стилеру, основанному на языке программирования Rust, где он внедряет код JavaScript в приложение Discord для извлечения резервных кодов. Этот метод подчеркивает изощренный характер возможностей Skuld по сбору информации и его намерение скомпрометировать учетные записи пользователей и получить доступ к дополнительной конфиденциальной информации.

Вредоносное ПО Skuld может выполнять дополнительные угрожающие действия

Некоторые образцы вредоносного ПО Skuld продемонстрировали включение модуля clipper, предназначенного для манипулирования содержимым буфера обмена. Этот модуль позволяет Skuld заниматься кражей криптовалюты, заменяя адреса криптовалютных кошельков теми, которые контролируются злоумышленниками. Вполне возможно, что модуль клипера, вероятно, все еще находится в стадии разработки, что указывает на потенциальные будущие улучшения возможностей Скулда по краже криптовалютных активов.

Эксфильтрация собранных данных осуществляется двумя основными методами. Во-первых, вредоносное ПО использует управляемый субъектом веб-хук Discord, что позволяет злоумышленникам передавать украденную информацию в свою инфраструктуру. В качестве альтернативы Skuld использует службу загрузки Gofile, загружая собранные данные в виде ZIP-файла. В этом случае ссылочный URL-адрес для доступа к загруженному ZIP-файлу, содержащему удаленные данные, отправляется злоумышленнику с использованием той же функции веб-перехватчика Discord.

Наличие Skuld и его развивающиеся функции демонстрируют растущую тенденцию среди злоумышленников использовать язык программирования Go. Простота, эффективность и кроссплатформенная совместимость Go сделали его привлекательным выбором для злоумышленников. Используя Go, злоумышленники могут нацеливаться на несколько операционных систем и расширять круг своих потенциальных жертв, подчеркивая необходимость надежных мер безопасности на различных платформах.