Kafatası Kötü Amaçlı Yazılım
Go programlama dilinde yazılmış Skuld adlı yeni bir bilgi toplayan kötü amaçlı yazılım, Avrupa, Güneydoğu Asya ve ABD'deki Windows sistemlerini başarıyla ele geçirdi.
Skuld, kurbanlarından hassas bilgileri çalmak için özel olarak tasarlanmıştır. Bunu başarmak için, Discord ve Web tarayıcıları gibi uygulamalarda veri aramanın yanı sıra sistemin kendisinden ve kurbanın klasörlerinde depolanan dosyalardan bilgi çıkarma dahil olmak üzere çeşitli teknikler kullanır.
İlginç bir şekilde Skuld, Creal Stealer, Luna Grabber ve BlackCap Grabber gibi halka açık diğer bilgi toplayıcılarla benzerlikler sergiliyor. Bu örtüşen özellikler, bu kötü amaçlı yazılım türleri arasında potansiyel bağlantılar veya paylaşılan kodlar olduğunu gösterir. Skuld'un çevrimiçi Deathined takma adı altında faaliyet gösteren bir geliştirici tarafından yaratıldığına inanılıyor.
Skuld Kötü Amaçlı Yazılımı, İhlal Edilen Sistemde Önceden Belirlenmiş Süreçleri Sonlandırabilir
Çalıştırıldıktan sonra, Skuld kötü amaçlı yazılımı, sanal bir ortamda çalışıp çalışmadığını kontrol etmek de dahil olmak üzere analizi engellemek için çeşitli kaçırma teknikleri kullanır. Bu, araştırmacıların davranışını ve işlevselliğini anlama çabalarını engellemek için yapılır. Ek olarak Skuld, virüslü sistemde o anda çalışan işlemlerin bir listesini çıkarır ve bunu önceden tanımlanmış bir engelleme listesiyle karşılaştırır. Herhangi bir işlem, engelleme listesinde bulunanlarla eşleşirse, Skuld kendisini sonlandırmak yerine, potansiyel olarak güvenlik önlemlerini etkisiz hale getirmeyi veya algılamayı engellemeyi amaçlayan eşleşen işlemi sonlandırmaya devam eder.
Skuld, sistem meta verilerini toplamanın yanı sıra, Web tarayıcılarında saklanan tanımlama bilgileri ve kimlik bilgileri gibi değerli bilgileri toplama yeteneğine de sahiptir. Ayrıca Masaüstü, Belgeler, Karşıdan Yüklemeler, Resimler, Müzik, Videolar ve OneDrive gibi Windows kullanıcı profili klasörlerinde bulunan belirli dosyaları hedefler. Skuld, bu klasörleri hedefleyerek, kişisel dosyalar ve temel belgeler dahil olmak üzere hassas kullanıcı verilerine erişmeyi ve bunları potansiyel olarak sızdırmayı amaçlar.
Kötü amaçlı yazılımın yapıtlarının analizi, onun Better Discord ve Discord Token Protector ile ilişkili meşru dosyaları kasten bozma niyetini ortaya çıkardı. Bu tehdit edici faaliyet, Discord kullanıcıları tarafından kullanılan yasal yazılımın işleyişini bozma girişimini akla getirmektedir. Ayrıca Skuld, Rust programlama diline dayalı başka bir bilgi hırsızına benzer bir teknik kullanır ve burada yedek kodları çıkarmak için Discord uygulamasına JavaScript kodu enjekte eder. Bu teknik, Skuld'un bilgi toplama yeteneklerinin karmaşık doğasının ve kullanıcı hesaplarını tehlikeye atma ve ek gizli bilgilere erişme niyetinin altını çiziyor.
Skuld Kötü Amaçlı Yazılımı Ek Tehdit Faaliyetleri Yürütebilir
Skuld kötü amaçlı yazılımının bazı örnekleri, panonun içeriğini değiştirmek için tasarlanmış bir kesme modülünün dahil edildiğini göstermiştir. Bu modül, Skuld'un kripto para cüzdan adreslerini saldırganlar tarafından kontrol edilenlerle değiştirerek kripto para hırsızlığına katılmasına olanak tanır. Kırpma modülünün muhtemelen hala geliştirilme aşamasında olması, Skuld'un kripto para birimi varlıklarını çalma konusundaki yeteneklerinde gelecekteki potansiyel geliştirmeleri gösteriyor olabilir.
Toplanan verilerin dışarı sızması, iki ana yöntemle gerçekleştirilir. İlk olarak, kötü amaçlı yazılım, aktör tarafından kontrol edilen bir Discord web kancasından yararlanarak saldırganların çalınan bilgileri altyapılarına iletmelerini sağlar. Alternatif olarak Skuld, toplanan verileri bir ZIP dosyası olarak yükleyerek Gofile yükleme hizmetini kullanır. Bu durumda, aynı Discord webhook işlevi kullanılarak saldırgana, dışarı sızan verileri içeren yüklenen ZIP dosyasına erişmek için bir referans URL gönderilir.
Skuld'un varlığı ve gelişen özellikleri, tehdit aktörleri arasında Go programlama dilini kullanmaya yönelik büyüyen bir eğilimi gözler önüne seriyor. Go'nun basitliği, verimliliği ve platformlar arası uyumluluğu, onu saldırganlar için çekici bir seçim haline getirdi. Tehdit aktörleri, Go'dan yararlanarak birden fazla işletim sistemini hedefleyebilir ve potansiyel kurban havuzlarını genişleterek çeşitli platformlarda sağlam güvenlik önlemlerine duyulan ihtiyacı vurgulayabilir.
