Скулд Малваре
Нови малвер за прикупљање информација под називом Скулд, написан у програмском језику Го, успешно је компромитовао Виндовс системе у Европи, југоисточној Азији и САД
Скулд је посебно дизајниран да краде осетљиве информације од својих жртава. Да би то постигао, користи различите технике, укључујући претрагу података у апликацијама као што су Дисцорд и веб претраживачи, као и издвајање информација из самог система и датотека ускладиштених у фасциклама жртве.
Занимљиво је да Скулд показује сличности са другим јавно доступним сакупљачима информација, као што су Цреал Стеалер, Луна Граббер и БлацкЦап Граббер. Ове карактеристике које се преклапају сугеришу потенцијалне везе или дељени код између ових врста малвера. Верује се да је Скулд креација програмера који ради под онлајн псеудонимом Деатхинед.
Злонамерни софтвер Скулд може да прекине унапред одређене процесе на оштећеном систему
Након извршења, злонамерни софтвер Скулд користи неколико техника избегавања да омета анализу, укључујући проверу да ли ради у виртуелном окружењу. Ово је учињено како би се ометали напори истраживача да разумеју његово понашање и функционалност. Поред тога, Скулд издваја листу тренутно покренутих процеса на зараженом систему и упоређује је са унапред дефинисаном листом блокова. Ако се било који процес поклапа са онима који су присутни на листи блокова, уместо да се сам оконча, Скулд наставља да прекине подударни процес, потенцијално са циљем да неутралише безбедносне мере или омета откривање.
Поред прикупљања системских метаподатака, Скулд поседује способност прикупљања вредних информација, као што су колачићи и акредитиви ускладиштени у веб прегледачима. Такође циља на одређене датотеке које се налазе у фасциклама Виндовс корисничког профила, укључујући радну површину, документе, преузимања, слике, музику, видео записе и ОнеДриве. Циљајући ове фасцикле, Скулд има за циљ да приступи и потенцијално ексфилтрира осетљиве корисничке податке, укључујући личне датотеке и основне документе.
Анализа артефаката малвера открила је његову намерну намеру да поквари легитимне датотеке повезане са Беттер Дисцорд-ом и Дисцорд Токен Протецтор-ом. Ова претећа активност сугерише покушај да се поремети функционисање легитимног софтвера који користе Дисцорд корисници. Штавише, Скулд користи технику сличну другом инфостеалер-у заснованом на програмском језику Руст, где убацује ЈаваСцрипт код у апликацију Дисцорд да би извукао резервне кодове. Ова техника наглашава софистицирану природу Скулдових могућности прикупљања информација и његову намеру да компромитује корисничке налоге и приступи додатним поверљивим информацијама.
Злонамерни софтвер Скулд може да изврши додатне претеће активности
Одређени узорци малвера Скулд су показали укључивање модула клипера, који је дизајниран да манипулише садржајем међуспремника. Овај модул омогућава Скулду да се упусти у крађу криптовалута заменом адреса новчаника криптовалута онима које контролишу нападачи. Могуће је да је модул клипера вероватно још увек у развоју, што указује на потенцијална будућа побољшања Скулдових могућности у крађи имовине криптовалута.
Ексфилтрација прикупљених података остварује се кроз две основне методе. Прво, злонамерни софтвер користи Дисцорд веб-хоок који контролише актери, омогућавајући нападачима да пренесу украдене информације својој инфраструктури. Алтернативно, Скулд користи услугу за отпремање Гофиле, отпремајући прикупљене податке као ЗИП датотеку. У овом случају, референтна УРЛ адреса за приступ отпремљеној ЗИП датотеци која садржи ексфилтриране податке шаље се нападачу користећи исту Дисцорд вебхоок функционалност.
Присуство Скулда и његових карактеристика које се развијају показује растући тренд међу актерима претњи да користе програмски језик Го. Го-ова једноставност, ефикасност и компатибилност на више платформи учинили су га атрактивним избором за нападаче. Користећи Го, актери претњи могу да циљају више оперативних система и прошире свој потенцијал потенцијалних жртава, наглашавајући потребу за снажним безбедносним мерама на различитим платформама.
