มัลแวร์ Skuld

มัลแวร์รวบรวมข้อมูลตัวใหม่ชื่อ Skuld ซึ่งเขียนด้วยภาษาโปรแกรม Go ประสบความสำเร็จในการบุกรุกระบบ Windows ในยุโรป เอเชียตะวันออกเฉียงใต้ และสหรัฐอเมริกา

Skuld ได้รับการออกแบบมาโดยเฉพาะเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากผู้ที่ตกเป็นเหยื่อ เพื่อให้บรรลุเป้าหมายนี้ จะใช้เทคนิคต่างๆ รวมถึงการค้นหาข้อมูลภายในแอปพลิเคชัน เช่น Discord และเว็บเบราว์เซอร์ รวมถึงการดึงข้อมูลจากตัวระบบเองและไฟล์ที่จัดเก็บไว้ในโฟลเดอร์ของเหยื่อ

ที่น่าสนใจคือ Skuld แสดงความคล้ายคลึงกับนักรวบรวมข้อมูลอื่นๆ ที่เปิดเผยต่อสาธารณะ เช่น Creal Stealer, Luna Grabber และ BlackCap Grabber ลักษณะที่ทับซ้อนกันเหล่านี้บ่งบอกถึงการเชื่อมต่อที่เป็นไปได้หรือรหัสที่ใช้ร่วมกันระหว่างมัลแวร์สายพันธุ์เหล่านี้ เชื่อว่า Skuld เป็นผลงานของนักพัฒนาที่ดำเนินการภายใต้นามแฝงออนไลน์ว่า Deathined

มัลแวร์ Skuld สามารถยุติกระบวนการที่กำหนดไว้ล่วงหน้าบนระบบที่ถูกละเมิด

เมื่อดำเนินการ มัลแวร์ Skuld จะใช้เทคนิคการหลบหลีกหลายอย่างเพื่อขัดขวางการวิเคราะห์ รวมถึงการตรวจสอบว่ามันทำงานอยู่ในสภาพแวดล้อมเสมือนจริงหรือไม่ สิ่งนี้ทำขึ้นเพื่อขัดขวางความพยายามของนักวิจัยในการทำความเข้าใจพฤติกรรมและการทำงานของมัน นอกจากนี้ Skuld ยังแยกรายการของกระบวนการที่กำลังทำงานอยู่ในระบบที่ติดไวรัสและเปรียบเทียบกับรายการบล็อกที่กำหนดไว้ล่วงหน้า หากกระบวนการใดตรงกับที่มีอยู่ในรายการบล็อก แทนที่จะยุติเอง Skuld จะดำเนินการยุติกระบวนการที่ตรงกัน ซึ่งอาจมีเป้าหมายเพื่อทำให้มาตรการรักษาความปลอดภัยเป็นกลางหรือขัดขวางการตรวจจับ

นอกเหนือจากการรวบรวมข้อมูลเมตาของระบบแล้ว Skuld ยังมีความสามารถในการเก็บเกี่ยวข้อมูลที่มีค่า เช่น คุกกี้และข้อมูลประจำตัวที่จัดเก็บไว้ในเว็บเบราว์เซอร์ นอกจากนี้ยังกำหนดเป้าหมายไฟล์เฉพาะที่อยู่ในโฟลเดอร์โปรไฟล์ผู้ใช้ Windows รวมถึงเดสก์ท็อป เอกสาร ดาวน์โหลด รูปภาพ เพลง วิดีโอ และ OneDrive ด้วยการกำหนดเป้าหมายโฟลเดอร์เหล่านี้ Skuld มีเป้าหมายเพื่อเข้าถึงและอาจกรองข้อมูลผู้ใช้ที่ละเอียดอ่อน รวมถึงไฟล์ส่วนตัวและเอกสารพื้นฐาน

การวิเคราะห์สิ่งประดิษฐ์ของมัลแวร์ได้เผยให้เห็นถึงความตั้งใจโดยเจตนาที่จะทำลายไฟล์ที่ถูกต้องที่เกี่ยวข้องกับ Better Discord และ Discord Token Protector กิจกรรมที่คุกคามนี้บ่งบอกถึงความพยายามที่จะขัดขวางการทำงานของซอฟต์แวร์ที่ถูกกฎหมายซึ่งใช้โดยผู้ใช้ Discord นอกจากนี้ Skuld ยังใช้เทคนิคที่คล้ายกับโปรแกรมขโมยข้อมูลอื่นที่ใช้ภาษาโปรแกรม Rust ซึ่งจะแทรกโค้ด JavaScript ลงในแอปพลิเคชัน Discord เพื่อแยกรหัสสำรอง เทคนิคนี้เน้นย้ำถึงลักษณะที่ซับซ้อนของความสามารถในการรวบรวมข้อมูลของ Skuld และความตั้งใจที่จะประนีประนอมบัญชีผู้ใช้และเข้าถึงข้อมูลที่เป็นความลับเพิ่มเติม

มัลแวร์ Skuld อาจดำเนินกิจกรรมที่คุกคามเพิ่มเติม

ตัวอย่างบางส่วนของมัลแวร์ Skuld ได้แสดงการรวมโมดูล Clipper ซึ่งออกแบบมาเพื่อจัดการเนื้อหาของคลิปบอร์ด โมดูลนี้ช่วยให้ Skuld มีส่วนร่วมในการโจรกรรม cryptocurrency โดยแทนที่ที่อยู่กระเป๋าเงิน cryptocurrency ด้วยที่อยู่ที่ถูกควบคุมโดยผู้โจมตี เป็นไปได้ว่าโมดูล Clipper นั้นยังอยู่ระหว่างการพัฒนา ซึ่งบ่งชี้ว่าอาจมีการปรับปรุงในอนาคตสำหรับความสามารถของ Skuld ในการขโมยสินทรัพย์ cryptocurrency

การกรองข้อมูลที่รวบรวมทำได้ผ่านสองวิธีหลัก ประการแรก มัลแวร์ใช้ประโยชน์จากเว็บฮุค Discord ที่ควบคุมโดยนักแสดง ทำให้ผู้โจมตีสามารถส่งข้อมูลที่ถูกขโมยไปยังโครงสร้างพื้นฐานของตนได้ อีกทางหนึ่ง Skuld ใช้บริการอัปโหลด Gofile อัปโหลดข้อมูลที่รวบรวมเป็นไฟล์ ZIP ในกรณีนี้ URL อ้างอิงเพื่อเข้าถึงไฟล์ ZIP ที่อัปโหลดซึ่งมีข้อมูลที่ถูกคัดออกจะถูกส่งไปยังผู้โจมตีโดยใช้ฟังก์ชัน Discord webhook เดียวกัน

การปรากฏตัวของ Skuld และคุณสมบัติที่พัฒนาขึ้นเรื่อยๆ แสดงให้เห็นถึงแนวโน้มที่เพิ่มขึ้นในหมู่ผู้คุกคามที่จะใช้ภาษาโปรแกรม Go ความเรียบง่าย ประสิทธิภาพ และความเข้ากันได้ข้ามแพลตฟอร์มของ Go ทำให้ Go เป็นตัวเลือกที่น่าสนใจสำหรับผู้โจมตี ด้วยการใช้ประโยชน์จาก Go ผู้คุกคามสามารถกำหนดเป้าหมายระบบปฏิบัติการหลายระบบและขยายกลุ่มเหยื่อที่มีศักยภาพ โดยเน้นย้ำถึงความจำเป็นสำหรับมาตรการรักษาความปลอดภัยที่แข็งแกร่งในแพลตฟอร์มต่างๆ