Skuld Malware

Një malware i ri për grumbullimin e informacionit i quajtur Skuld, i shkruar në gjuhën e programimit Go, ka komprometuar me sukses sistemet Windows në Evropë, Azinë Juglindore dhe SHBA

Skuld është krijuar posaçërisht për të grabitur informacione të ndjeshme nga viktimat e tij. Për ta arritur këtë, ai përdor teknika të ndryshme, duke përfshirë kërkimin e të dhënave brenda aplikacioneve si Discord dhe shfletuesit e uebit, si dhe nxjerrjen e informacionit nga vetë sistemi dhe skedarët e ruajtur në dosjet e viktimës.

Interesante, Skuld shfaq ngjashmëri me koleksionistët e tjerë të informacionit të disponueshëm publikisht, si Creal Stealer, Luna Grabber dhe BlackCap Grabber. Këto karakteristika të mbivendosura sugjerojnë lidhje të mundshme ose kod të përbashkët midis këtyre llojeve të malware. Skuld besohet të jetë krijimi i një zhvilluesi që operon nën pseudonimin online Deathined.

Malware Skuld mund të përfundojë proceset e paracaktuara në sistemin e shkelur

Pas ekzekutimit, malware Skuld përdor disa teknika evazioni për të penguar analizën, duke përfshirë kontrollin nëse po funksionon brenda një mjedisi virtual. Kjo është bërë për të penguar përpjekjet e studiuesve për të kuptuar sjelljen dhe funksionalitetin e tij. Për më tepër, Skuld nxjerr një listë të proceseve aktualisht të ekzekutuara në sistemin e infektuar dhe e krahason atë me një listë bllokimi të paracaktuar. Nëse ndonjë proces përputhet me ato të pranishme në listën e bllokimit, në vend që të përfundojë vetë, Skuld vazhdon të përfundojë procesin e përputhur, duke synuar potencialisht të neutralizojë masat e sigurisë ose të pengojë zbulimin.

Përveç mbledhjes së meta të dhënave të sistemit, Skuld zotëron aftësinë për të mbledhur informacione të vlefshme, të tilla si kuki dhe kredenciale të ruajtura në shfletuesit e uebit. Ai synon gjithashtu skedarë specifikë të vendosur në dosjet e profilit të përdoruesit të Windows, duke përfshirë Desktopin, Dokumentet, Shkarkimet, Fotografitë, Muzikën, Videot dhe OneDrive. Duke synuar këto dosje, Skuld synon të aksesojë dhe të eksplorojë potencialisht të dhëna të ndjeshme të përdoruesit, duke përfshirë skedarët personalë dhe dokumentet themelore.

Analiza e objekteve të malware ka zbuluar qëllimin e tij të qëllimshëm për të korruptuar skedarët legjitimë të lidhur me Better Discord dhe Discord Token Protector. Ky aktivitet kërcënues sugjeron një përpjekje për të prishur funksionimin e softuerit legjitim të përdorur nga përdoruesit e Discord. Për më tepër, Skuld përdor një teknikë të ngjashme me një tjetër info vjedhës bazuar në gjuhën e programimit Rust, ku injekton kodin JavaScript në aplikacionin Discord për të nxjerrë kodet rezervë. Kjo teknikë nënvizon natyrën e sofistikuar të aftësive të Skuld-it për mbledhjen e informacionit dhe synimin e tij për të kompromentuar llogaritë e përdoruesve dhe për të hyrë në informacione konfidenciale shtesë.

Malware Skuld mund të ekzekutojë aktivitete të tjera kërcënuese

Disa mostra të malware Skuld kanë demonstruar përfshirjen e një moduli prerës, i cili është krijuar për të manipuluar përmbajtjen e kujtesës. Ky modul lejon Skuld të përfshihet në vjedhjen e kriptomonedhave duke zëvendësuar adresat e portofolit të kriptomonedhave me ato të kontrolluara nga sulmuesit. Është e mundur që moduli Clipper ka të ngjarë të jetë ende në zhvillim, duke treguar përmirësime të mundshme në të ardhmen për aftësitë e Skuld në vjedhjen e aseteve të kriptomonedhave.

Eksfiltrimi i të dhënave të mbledhura arrihet me dy metoda primare. Së pari, malware përdor një uebhook Discord të kontrolluar nga aktori, duke u mundësuar sulmuesve të transmetojnë informacionin e vjedhur në infrastrukturën e tyre. Përndryshe, Skuld përdor shërbimin e ngarkimit të Gofile, duke ngarkuar të dhënat e mbledhura si një skedar ZIP. Në këtë rast, një URL referencë për të hyrë në skedarin ZIP të ngarkuar që përmban të dhënat e ekfiltruara, i dërgohet sulmuesit duke përdorur të njëjtin funksionalitet të uebit Discord.

Prania e Skuld dhe karakteristikat e tij në zhvillim tregon një prirje në rritje midis aktorëve të kërcënimit për të përdorur gjuhën e programimit Go. Thjeshtësia, efikasiteti dhe pajtueshmëria ndër-platformë e Go e kanë bërë atë një zgjedhje tërheqëse për sulmuesit. Duke përdorur Go, aktorët e kërcënimit mund të synojnë sisteme të shumta operative dhe të zgjerojnë grupin e tyre të mundshëm të viktimave, duke theksuar nevojën për masa të forta sigurie në platforma të ndryshme.