Skuld Malware

En ny skadlig programvara som samlar in information som heter Skuld, skriven i programmeringsspråket Go, har framgångsrikt äventyrat Windows-system i Europa, Sydostasien och USA

Skuld är speciellt utformad för att stjäla känslig information från sina offer. För att åstadkomma detta använder den olika tekniker, inklusive att söka efter data i applikationer som Discord och webbläsare, samt extrahera information från själva systemet och filer som lagras i offrets mappar.

Intressant nog uppvisar Skuld likheter med andra allmänt tillgängliga informationssamlare, som Creal Stealer, Luna Grabber och BlackCap Grabber. Dessa överlappande egenskaper tyder på potentiella anslutningar eller delad kod mellan dessa skadliga stammar. Skuld tros vara skapandet av en utvecklare som verkar under onlinepseudonymen Deathined.

Skuld Malware kan avsluta förutbestämda processer på det intrångade systemet

Vid exekvering använder Skuld skadlig programvara flera undanflyktstekniker för att hindra analys, inklusive att kontrollera om den körs i en virtuell miljö. Detta görs för att hindra forskarnas ansträngningar att förstå dess beteende och funktion. Dessutom extraherar Skuld en lista över processer som körs på det infekterade systemet och jämför den med en fördefinierad blocklista. Om någon process matchar de som finns i blockeringslistan, istället för att avsluta sig själv, fortsätter Skuld med att avsluta den matchade processen, eventuellt i syfte att neutralisera säkerhetsåtgärder eller hindra upptäckt.

Förutom att samla in systemmetadata har Skuld förmågan att samla in värdefull information, såsom cookies och referenser som lagras i webbläsare. Den riktar sig också mot specifika filer som finns i Windows-användarprofilmapparna, inklusive skrivbord, dokument, nedladdningar, bilder, musik, videor och OneDrive. Genom att rikta in sig på dessa mappar strävar Skuld efter att komma åt och potentiellt exfiltrera känslig användardata, inklusive personliga filer och grundläggande dokument.

Analyser av skadliga artefakter har avslöjat dess avsiktliga avsikt att korrumpera legitima filer associerade med Better Discord och Discord Token Protector. Denna hotfulla aktivitet antyder ett försök att störa funktionen hos legitim programvara som används av Discord-användare. Dessutom använder Skuld en teknik som liknar en annan infostealer baserad på programmeringsspråket Rust, där den injicerar JavaScript-kod i Discord-applikationen för att extrahera säkerhetskopieringskoder. Denna teknik understryker den sofistikerade karaktären hos Skulds informationsinsamlingsmöjligheter och dess avsikt att äventyra användarkonton och få tillgång till ytterligare konfidentiell information.

Skuld Malware kan utföra ytterligare hotfulla aktiviteter

Vissa exempel på Skuld skadlig programvara har visat införandet av en clipper-modul, som är utformad för att manipulera innehållet i urklipp. Den här modulen gör det möjligt för Skuld att ägna sig åt stöld av kryptovalutor genom att ersätta adresser för kryptovaluta-plånbok med de som kontrolleras av angriparna. Det är möjligt att clipper-modulen sannolikt fortfarande är under utveckling, vilket indikerar potentiella framtida förbättringar av Skulds förmåga att stjäla kryptovalutatillgångar.

Exfiltreringen av den insamlade informationen uppnås genom två primära metoder. För det första använder den skadliga programvaran en aktörskontrollerad Discord-webhook, vilket gör det möjligt för angriparna att överföra den stulna informationen till sin infrastruktur. Alternativt använder Skuld uppladdningstjänsten Gofile och laddar upp den insamlade informationen som en ZIP-fil. I det här fallet skickas en referens-URL för att komma åt den uppladdade ZIP-filen som innehåller exfiltrerad data till angriparen med samma Discord webhook-funktion.

Närvaron av Skuld och dess utvecklande funktioner visar på en växande trend bland hotaktörer att använda programmeringsspråket Go. Gos enkelhet, effektivitet och plattformsoberoende kompatibilitet har gjort det till ett attraktivt val för angripare. Genom att utnyttja Go kan hotaktörer rikta in sig på flera operativsystem och utöka sin potentiella offerpool, vilket understryker behovet av robusta säkerhetsåtgärder på olika plattformar.