Giảm giá nhiều giấy phép
Threat Database Malware Phần mềm độc hại Skuld

Phần mềm độc hại Skuld

Đến năm Mezo năm Malware, Stealers
Dịch sang:
Tiếng Việt Nam

Một phần mềm độc hại thu thập thông tin mới có tên Skuld, được viết bằng ngôn ngữ lập trình Go, đã xâm nhập thành công các hệ thống Windows ở Châu Âu, Đông Nam Á và Hoa Kỳ

Skuld được thiết kế đặc biệt để ăn cắp thông tin nhạy cảm từ các nạn nhân của nó. Để thực hiện điều này, nó sử dụng nhiều kỹ thuật khác nhau, bao gồm tìm kiếm dữ liệu trong các ứng dụng như Discord và trình duyệt Web, cũng như trích xuất thông tin từ chính hệ thống và các tệp được lưu trữ trong thư mục của nạn nhân.

Thật thú vị, Skuld thể hiện những điểm tương đồng với những người thu thập thông tin có sẵn công khai khác, chẳng hạn như Kẻ đánh cắp Creal, Kẻ cướp Luna và Kẻ cướp BlackCap. Những đặc điểm chồng chéo này cho thấy các kết nối tiềm năng hoặc mã được chia sẻ giữa các dòng phần mềm độc hại này. Skuld được cho là sáng tạo của một nhà phát triển hoạt động dưới bút danh trực tuyến Deathined.

Phần mềm độc hại Skuld có thể chấm dứt các quy trình được xác định trước trên hệ thống bị vi phạm

Khi thực thi, phần mềm độc hại Skuld sử dụng một số kỹ thuật trốn tránh để cản trở quá trình phân tích, bao gồm cả việc kiểm tra xem nó có đang chạy trong môi trường ảo hay không. Điều này được thực hiện để cản trở nỗ lực của các nhà nghiên cứu trong việc tìm hiểu hành vi và chức năng của nó. Ngoài ra, Skuld trích xuất danh sách các quy trình hiện đang chạy trên hệ thống bị nhiễm và so sánh nó với danh sách chặn được xác định trước. Nếu bất kỳ quy trình nào khớp với những quy trình có trong danh sách chặn, thay vì tự chấm dứt, Skuld tiến hành chấm dứt quy trình khớp, có khả năng nhằm mục đích vô hiệu hóa các biện pháp bảo mật hoặc cản trở việc phát hiện.

Ngoài việc thu thập siêu dữ liệu hệ thống, Skuld còn có khả năng thu thập thông tin có giá trị, chẳng hạn như cookie và thông tin xác thực được lưu trữ trong trình duyệt Web. Nó cũng nhắm mục tiêu các tệp cụ thể nằm trong thư mục hồ sơ người dùng Windows, bao gồm Máy tính để bàn, Tài liệu, Tải xuống, Ảnh, Nhạc, Video và OneDrive. Bằng cách nhắm mục tiêu vào các thư mục này, Skuld nhằm mục đích truy cập và có khả năng lọc dữ liệu nhạy cảm của người dùng, bao gồm các tệp cá nhân và tài liệu cơ bản.

Phân tích các thành phần tạo tác của phần mềm độc hại đã tiết lộ ý định cố tình làm hỏng các tệp hợp pháp được liên kết với Better Discord và Discord Token Protector. Hoạt động đe dọa này cho thấy nỗ lực phá vỡ hoạt động của phần mềm hợp pháp được người dùng Discord sử dụng. Hơn nữa, Skuld sử dụng một kỹ thuật tương tự như một trình đánh cắp thông tin khác dựa trên ngôn ngữ lập trình Rust, trong đó nó đưa mã JavaScript vào ứng dụng Discord để trích xuất mã dự phòng. Kỹ thuật này nhấn mạnh bản chất phức tạp của khả năng thu thập thông tin của Skuld và ý định xâm phạm tài khoản người dùng và truy cập thông tin bí mật bổ sung.

Phần mềm độc hại Skuld có thể thực hiện các hoạt động đe dọa bổ sung

Một số mẫu nhất định của phần mềm độc hại Skuld đã chứng minh việc bao gồm mô-đun clipper, mô-đun này được thiết kế để thao tác nội dung của khay nhớ tạm. Mô-đun này cho phép Skuld tham gia vào hành vi trộm cắp tiền điện tử bằng cách thay thế địa chỉ ví tiền điện tử bằng địa chỉ do kẻ tấn công kiểm soát. Có thể mô-đun clipper vẫn đang được phát triển, cho thấy những cải tiến tiềm năng trong tương lai đối với khả năng của Skuld trong việc đánh cắp tài sản tiền điện tử.

Việc lọc dữ liệu đã thu thập đạt được thông qua hai phương pháp chính. Đầu tiên, phần mềm độc hại tận dụng webhook Discord do tác nhân kiểm soát, cho phép kẻ tấn công truyền thông tin ăn cắp đến cơ sở hạ tầng của chúng. Ngoài ra, Skuld sử dụng dịch vụ tải lên của Gofile, tải dữ liệu đã thu thập được lên dưới dạng tệp ZIP. Trong trường hợp này, một URL tham chiếu để truy cập vào tệp ZIP đã tải lên chứa dữ liệu bị lọc sẽ được gửi tới kẻ tấn công bằng cách sử dụng cùng chức năng webhook của Discord.

Sự hiện diện của Skuld và các tính năng đang phát triển của nó cho thấy xu hướng ngày càng tăng giữa các tác nhân đe dọa sử dụng ngôn ngữ lập trình Go. Tính đơn giản, hiệu quả và khả năng tương thích đa nền tảng của Go đã khiến nó trở thành lựa chọn hấp dẫn cho những kẻ tấn công. Bằng cách tận dụng Go, những kẻ đe dọa có thể nhắm mục tiêu vào nhiều hệ điều hành và mở rộng nhóm nạn nhân tiềm năng của chúng, làm nổi bật nhu cầu về các biện pháp bảo mật mạnh mẽ trên nhiều nền tảng khác nhau.

xu hướng

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
15,882
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...