Zlonamerna programska oprema Skuld

Nova zlonamerna programska oprema za zbiranje informacij, imenovana Skuld, napisana v programskem jeziku Go, je uspešno ogrozila sisteme Windows v Evropi, jugovzhodni Aziji in ZDA

Skuld je posebej zasnovan za krajo občutljivih informacij od svojih žrtev. Da bi to dosegel, uporablja različne tehnike, vključno z iskanjem podatkov v aplikacijah, kot sta Discord in spletni brskalniki, ter pridobivanje informacij iz samega sistema in datotek, shranjenih v mapah žrtve.

Zanimivo je, da Skuld kaže podobnosti z drugimi javno dostopnimi zbiralniki informacij, kot so Creal Stealer, Luna Grabber in BlackCap Grabber. Te prekrivajoče se značilnosti kažejo na morebitne povezave ali skupno kodo med temi vrstami zlonamerne programske opreme. Skuld naj bi bil stvaritev razvijalca, ki deluje pod spletnim psevdonimom Deathined.

Zlonamerna programska oprema Skuld lahko prekine vnaprej določene procese v poškodovanem sistemu

Zlonamerna programska oprema Skuld po izvedbi uporablja več tehnik izogibanja, da ovira analizo, vključno s preverjanjem, ali se izvaja v virtualnem okolju. To se naredi, da bi ovirali prizadevanja raziskovalcev, da bi razumeli njegovo vedenje in funkcionalnost. Poleg tega Skuld izvleče seznam trenutno izvajanih procesov v okuženem sistemu in ga primerja z vnaprej določenim seznamom blokiranih. Če se kateri koli proces ujema s tistimi, ki so prisotni na seznamu blokiranih, Skuld namesto samega sebe prekine ujemajoči se proces, s čimer bi morda želel nevtralizirati varnostne ukrepe ali ovirati odkrivanje.

Poleg zbiranja sistemskih metapodatkov ima Skuld zmožnost pridobivanja dragocenih informacij, kot so piškotki in poverilnice, shranjene v spletnih brskalnikih. Cilja tudi na določene datoteke, ki se nahajajo v mapah uporabniškega profila sistema Windows, vključno z namizjem, dokumenti, prenosi, slikami, glasbo, videoposnetki in OneDrive. S ciljanjem na te mape želi Skuld dostopati do občutljivih uporabniških podatkov, vključno z osebnimi datotekami in temeljnimi dokumenti, in jih potencialno izločiti.

Analiza artefaktov zlonamerne programske opreme je razkrila njen namerni namen poškodovati zakonite datoteke, povezane z Better Discord in Discord Token Protector. Ta grozeča dejavnost nakazuje poskus motenj v delovanju zakonite programske opreme, ki jo uporabljajo uporabniki Discorda. Poleg tega Skuld uporablja tehniko, ki je podobna drugemu infostealerju, ki temelji na programskem jeziku Rust, kjer v aplikacijo Discord vbrizga kodo JavaScript za pridobivanje rezervnih kod. Ta tehnika poudarja prefinjeno naravo Skuldovih zmožnosti zbiranja informacij in njegovo namero, da ogrozi uporabniške račune in dostopa do dodatnih zaupnih informacij.

Zlonamerna programska oprema Skuld lahko izvaja dodatne nevarne dejavnosti

Nekateri vzorci zlonamerne programske opreme Skuld so pokazali vključitev modula strižnika, ki je zasnovan za manipulacijo vsebine odložišča. Ta modul Skuldu omogoča krajo kriptovalut z zamenjavo naslovov denarnic za kriptovalute s tistimi, ki jih nadzirajo napadalci. Možno je, da je modul clipper verjetno še v razvoju, kar kaže na morebitne prihodnje izboljšave Skuldovih zmogljivosti pri kraji sredstev kriptovalut.

Eksfiltracija zbranih podatkov se doseže z dvema primarnima metodama. Prvič, zlonamerna programska oprema izkorišča spletni kavelj Discord, ki ga nadzoruje igralec, kar napadalcem omogoča prenos ukradenih informacij v njihovo infrastrukturo. Druga možnost je, da Skuld uporablja storitev za nalaganje Gofile in naloži zbrane podatke kot datoteko ZIP. V tem primeru se referenčni URL za dostop do naložene datoteke ZIP, ki vsebuje eksfiltrirane podatke, pošlje napadalcu z uporabo iste funkcije spletnega trnka Discord.

Prisotnost Skulda in njegovih razvijajočih se funkcij prikazuje naraščajoč trend med akterji groženj, da uporabljajo programski jezik Go. Zaradi preprostosti, učinkovitosti in združljivosti med različnimi platformami je Go postal privlačna izbira za napadalce. Z uporabo Go lahko akterji groženj ciljajo na več operacijskih sistemov in razširijo svojo potencialno skupino žrtev, kar poudarja potrebo po robustnih varnostnih ukrepih na različnih platformah.