Skuld Malware

Isang bagong malware sa pagkolekta ng impormasyon na tinatawag na Skuld, na nakasulat sa Go programming language, ay matagumpay na nakompromiso ang mga Windows system sa Europe, Southeast Asia at US

Ang Skuld ay partikular na idinisenyo upang kunin ang sensitibong impormasyon mula sa mga biktima nito. Upang magawa ito, gumagamit ito ng iba't ibang mga diskarte, kabilang ang paghahanap ng data sa loob ng mga application tulad ng Discord at mga Web browser, pati na rin ang pagkuha ng impormasyon mula sa system mismo at mga file na nakaimbak sa mga folder ng biktima.

Kapansin-pansin, ang Skuld ay nagpapakita ng mga pagkakatulad sa iba pang available sa publiko na mga kolektor ng impormasyon, gaya ng Creal Stealer, ang Luna Grabber at ang BlackCap Grabber. Ang mga magkakapatong na katangiang ito ay nagmumungkahi ng mga potensyal na koneksyon o nakabahaging code sa mga strain ng malware na ito. Ang Skuld ay pinaniniwalaan na ang paglikha ng isang developer na nagpapatakbo sa ilalim ng online na pseudonym na Deathined.

Maaaring Wakasan ng Skuld Malware ang Mga Paunang Natukoy na Proseso sa Nilabag na System

Sa pagpapatupad, ang Skuld malware ay gumagamit ng ilang mga diskarte sa pag-iwas upang hadlangan ang pagsusuri, kabilang ang pagsuri kung ito ay tumatakbo sa loob ng isang virtual na kapaligiran. Ginagawa ito upang hadlangan ang mga pagsisikap ng mga mananaliksik na maunawaan ang pag-uugali at paggana nito. Bukod pa rito, kinukuha ng Skuld ang isang listahan ng kasalukuyang tumatakbong mga proseso sa nahawaang system at inihahambing ito sa isang paunang natukoy na blocklist. Kung anumang proseso ang tumutugma sa mga naroroon sa blocklist, sa halip na wakasan ang sarili nito, magpapatuloy ang Skuld na wakasan ang katugmang proseso, na posibleng naglalayong i-neutralize ang mga hakbang sa seguridad o hadlangan ang pagtuklas.

Bilang karagdagan sa pangangalap ng metadata ng system, ang Skuld ay nagtataglay ng kakayahang mag-ani ng mahalagang impormasyon, tulad ng cookies at mga kredensyal na nakaimbak sa mga Web browser. Tina-target din nito ang mga partikular na file na matatagpuan sa mga folder ng profile ng user ng Windows, kabilang ang Desktop, Documents, Downloads, Pictures, Music, Videos at OneDrive. Sa pamamagitan ng pag-target sa mga folder na ito, nilalayon ng Skuld na i-access at potensyal na i-exfiltrate ang sensitibong data ng user, kabilang ang mga personal na file at pangunahing dokumento.

Ang pagsusuri sa mga artifact ng malware ay nagsiwalat ng sadyang intensyon nitong sirain ang mga lehitimong file na nauugnay sa Better Discord at Discord Token Protector. Ang nagbabantang aktibidad na ito ay nagmumungkahi ng pagtatangkang guluhin ang paggana ng lehitimong software na ginagamit ng mga gumagamit ng Discord. Higit pa rito, gumagamit ang Skuld ng isang pamamaraan na katulad ng isa pang infostealer batay sa Rust programming language, kung saan ini-inject nito ang JavaScript code sa Discord application upang kunin ang mga backup na code. Binibigyang-diin ng diskarteng ito ang sopistikadong katangian ng mga kakayahan sa pangangalap ng impormasyon ng Skuld at ang intensyon nitong ikompromiso ang mga account ng gumagamit at i-access ang karagdagang kumpidensyal na impormasyon.

Ang Skuld Malware ay maaaring Magsagawa ng Mga Karagdagang Mapanganib na Aktibidad

Ang ilang partikular na sample ng Skuld malware ay nagpakita ng pagsasama ng isang clipper module, na idinisenyo upang manipulahin ang mga nilalaman ng clipboard. Binibigyang-daan ng module na ito ang Skuld na makisali sa pagnanakaw ng cryptocurrency sa pamamagitan ng pagpapalit ng mga address ng wallet ng cryptocurrency ng mga kontrolado ng mga umaatake. Posible na ang clipper module ay malamang na nasa ilalim pa rin ng pag-unlad, na nagpapahiwatig ng mga potensyal na pagpapahusay sa hinaharap sa mga kakayahan ng Skuld sa pagnanakaw ng mga asset ng cryptocurrency.

Ang exfiltration ng mga nakolektang data ay nakakamit sa pamamagitan ng dalawang pangunahing pamamaraan. Una, ginagamit ng malware ang isang webhook na Discord na kontrolado ng aktor, na nagbibigay-daan sa mga umaatake na maihatid ang ninakaw na impormasyon sa kanilang imprastraktura. Bilang kahalili, ginagamit ng Skuld ang serbisyo sa pag-upload ng Gofile, na ina-upload ang nakolektang data bilang isang ZIP file. Sa kasong ito, ang isang reference na URL para ma-access ang na-upload na ZIP file na naglalaman ng exfiltrated data ay ipapadala sa attacker gamit ang parehong Discord webhook functionality.

Ang pagkakaroon ng Skuld at ang mga umuusbong na feature nito ay nagpapakita ng lumalaking trend sa mga banta ng aktor na gamitin ang Go programming language. Ang pagiging simple, kahusayan, at cross-platform na compatibility ni Go ay naging isang kaakit-akit na pagpipilian para sa mga umaatake. Sa pamamagitan ng paggamit ng Go, maaaring i-target ng mga threat actor ang maraming operating system at palawakin ang kanilang potensyal na victim pool, na itinatampok ang pangangailangan para sa matatag na mga hakbang sa seguridad sa iba't ibang platform.