Skuld Malware

Nový malvér na zbieranie informácií s názvom Skuld, napísaný v programovacom jazyku Go, úspešne ohrozil systémy Windows v Európe, juhovýchodnej Ázii a USA.

Skuld je špeciálne navrhnutý na odcudzenie citlivých informácií od svojich obetí. Na dosiahnutie tohto cieľa využíva rôzne techniky vrátane vyhľadávania údajov v aplikáciách, ako sú Discord a webové prehliadače, ako aj extrahovanie informácií zo samotného systému a súborov uložených v priečinkoch obete.

Zaujímavé je, že Skuld vykazuje podobnosti s inými verejne dostupnými zberateľmi informácií, ako sú Creal Stealer, Luna Grabber a BlackCap Grabber. Tieto prekrývajúce sa charakteristiky naznačujú potenciálne spojenia alebo zdieľaný kód medzi týmito kmeňmi malvéru. Skuld je považovaný za výtvor vývojára, ktorý pôsobí pod online pseudonymom Deathined.

Malvér Skuld môže ukončiť vopred určené procesy v narušenom systéme

Po spustení malvér Skuld využíva niekoľko únikových techník, ktoré bránia analýze, vrátane kontroly, či beží vo virtuálnom prostredí. Deje sa tak s cieľom zabrániť úsiliu výskumníkov pochopiť jeho správanie a funkčnosť. Skuld navyše extrahuje zoznam aktuálne spustených procesov v infikovanom systéme a porovná ho s preddefinovaným zoznamom blokovaných. Ak sa niektorý proces zhoduje s procesmi na zozname blokovaných, namiesto toho, aby sa sám ukončil, Skuld pristúpi k ukončeniu priradeného procesu, potenciálne s cieľom neutralizovať bezpečnostné opatrenia alebo zabrániť odhaleniu.

Okrem zhromažďovania systémových metadát má Skuld schopnosť zbierať cenné informácie, ako sú súbory cookie a poverenia uložené vo webových prehliadačoch. Zameriava sa aj na konkrétne súbory umiestnené v priečinkoch používateľského profilu systému Windows vrátane pracovnej plochy, dokumentov, stiahnutých súborov, obrázkov, hudby, videí a OneDrive. Zameraním na tieto priečinky sa Skuld snaží získať prístup k citlivým užívateľským údajom vrátane osobných súborov a základných dokumentov a potenciálne ich exfiltrovať.

Analýza artefaktov malvéru odhalila jeho úmyselný úmysel poškodiť legitímne súbory spojené s Better Discord a Discord Token Protector. Táto hrozivá aktivita naznačuje pokus narušiť fungovanie legitímneho softvéru používaného používateľmi Discordu. Okrem toho Skuld využíva techniku podobnú inému infostealerovi založenom na programovacom jazyku Rust, kde vkladá kód JavaScript do aplikácie Discord na extrahovanie záložných kódov. Táto technika podčiarkuje sofistikovanú povahu schopností spoločnosti Skuld zhromažďovať informácie a jej zámer kompromitovať používateľské účty a získať prístup k ďalším dôverným informáciám.

Malvér Skuld môže vykonávať ďalšie ohrozujúce aktivity

Niektoré vzorky malvéru Skuld preukázali zahrnutie modulu clipper, ktorý je určený na manipuláciu s obsahom schránky. Tento modul umožňuje Skuldovi zapojiť sa do krádeže kryptomien nahradením adries kryptomenových peňaženiek tými, ktoré ovládajú útočníci. Je možné, že modul clipper je pravdepodobne stále vo vývoji, čo naznačuje potenciálne budúce vylepšenia schopností Skuld pri kradnutí kryptomenových aktív.

Exfiltrácia zozbieraných údajov sa dosahuje dvoma primárnymi metódami. Po prvé, malvér využíva webhook Discord ovládaný aktérom, ktorý útočníkom umožňuje prenášať ukradnuté informácie do ich infraštruktúry. Alternatívne Skuld využíva službu nahrávania Gofile, ktorá načítava zozbierané údaje ako súbor ZIP. V tomto prípade sa útočníkovi odošle referenčná adresa URL na prístup k nahranému súboru ZIP obsahujúcemu exfiltrované údaje pomocou rovnakej funkcie webhooku Discord.

Prítomnosť Skuld a jej vyvíjajúcich sa funkcií ukazuje rastúci trend medzi aktérmi hrozieb využívať programovací jazyk Go. Jednoduchosť, efektívnosť a kompatibilita medzi platformami Go z neho urobili atraktívnu voľbu pre útočníkov. Využitím Go môžu aktéri hrozieb zacieliť na viaceré operačné systémy a rozšíriť svoje potenciálne obete, čo zdôrazňuje potrebu robustných bezpečnostných opatrení na rôznych platformách.