Шкідливе програмне забезпечення Skuld

Нова шкідлива програма для збору інформації під назвою Skuld, написана мовою програмування Go, успішно зламала системи Windows у Європі, Південно-Східній Азії та США

Skuld спеціально розроблений для крадіжки конфіденційної інформації у своїх жертв. Щоб досягти цього, він використовує різні методи, включаючи пошук даних у таких програмах, як Discord і веб-браузерах, а також вилучення інформації з самої системи та файлів, що зберігаються в папках жертви.

Цікаво, що Skuld демонструє схожість з іншими загальнодоступними збирачами інформації, такими як Creal Stealer, Luna Grabber і BlackCap Grabber. Ці збігаються характеристики свідчать про потенційні зв’язки або спільний код між цими штамами зловмисного програмного забезпечення. Вважається, що Skuld є творінням розробника, який працює під онлайн-псевдонімом Deathined.

Зловмисне програмне забезпечення Skuld може припинити заздалегідь визначені процеси у зламаній системі

Після виконання зловмисне програмне забезпечення Skuld використовує кілька методів ухилення, щоб перешкодити аналізу, зокрема перевірити, чи воно працює у віртуальному середовищі. Це робиться, щоб перешкодити зусиллям дослідників зрозуміти його поведінку та функціональність. Крім того, Skuld витягує список запущених процесів в зараженій системі та порівнює його з попередньо визначеним списком блокувань. Якщо будь-який процес збігається з тими, хто присутній у списку блокувань, замість того, щоб завершити сам себе, Skuld продовжує завершувати відповідний процес, потенційно маючи на меті нейтралізувати заходи безпеки або перешкодити виявленню.

Окрім збору системних метаданих, Skuld має можливість збирати цінну інформацію, таку як файли cookie та облікові дані, що зберігаються у веб-браузерах. Він також націлений на певні файли, розташовані в папках профілю користувача Windows, зокрема робочий стіл, документи, завантаження, зображення, музика, відео та OneDrive. Націлюючись на ці папки, Skuld прагне отримати доступ і потенційно викрасти конфіденційні дані користувача, включаючи особисті файли та основні документи.

Аналіз артефактів шкідливого програмного забезпечення виявив його навмисний намір пошкодити законні файли, пов’язані з Better Discord і Discord Token Protector. Ця загрозлива діяльність свідчить про спробу порушити роботу законного програмного забезпечення, яке використовують користувачі Discord. Крім того, Skuld використовує техніку, схожу на іншу інфокрадію на основі мови програмування Rust, де він вставляє код JavaScript у програму Discord для отримання резервних кодів. Цей прийом підкреслює складний характер можливостей Skuld зі збору інформації та його намір скомпрометувати облікові записи користувачів і отримати доступ до додаткової конфіденційної інформації.

Зловмисне програмне забезпечення Skuld може виконувати додаткові загрозливі дії

Деякі зразки зловмисного програмного забезпечення Skuld продемонстрували включення модуля кліпера, який призначений для маніпулювання вмістом буфера обміну. Цей модуль дозволяє Skuld брати участь у крадіжці криптовалюти, замінюючи адреси гаманців криптовалюти на адреси, які контролюються зловмисниками. Цілком можливо, що модуль кліпера все ще знаходиться в стадії розробки, що вказує на потенційні майбутні вдосконалення можливостей Skuld у крадіжці криптовалютних активів.

Ексфільтрація зібраних даних досягається двома основними методами. По-перше, зловмисне програмне забезпечення використовує керований актором вебхук Discord, що дозволяє зловмисникам передавати вкрадену інформацію до своєї інфраструктури. Крім того, Skuld використовує службу завантаження Gofile, завантажуючи зібрані дані як ZIP-файл. У цьому випадку посилальна URL-адреса для доступу до завантаженого ZIP-файлу, що містить вилучені дані, надсилається зловмиснику за допомогою тієї самої функції веб-хуку Discord.

Наявність Skuld і його функції, що розвиваються, демонструють зростаючу тенденцію серед суб’єктів загрози використовувати мову програмування Go. Простота, ефективність і кросплатформна сумісність Go зробили його привабливим вибором для зловмисників. Використовуючи Go, зловмисники можуть націлюватися на кілька операційних систем і розширювати пул потенційних жертв, підкреслюючи необхідність надійних заходів безпеки на різних платформах.