Skuld 恶意软件

一种名为 Skuld 的新型信息收集恶意软件，使用 Go 编程语言编写，已成功入侵欧洲、东南亚和美国的 Windows 系统

Skuld 专门用于窃取受害者的敏感信息。为实现这一目标，它采用了多种技术，包括在 Discord 和 Web 浏览器等应用程序中搜索数据，以及从系统本身和存储在受害者文件夹中的文件中提取信息。

有趣的是，Skuld 与其他公开可用的信息收集器有相似之处，例如 Creal Stealer、Luna Grabber 和 BlackCap Grabber。这些重叠的特征表明这些恶意软件菌株之间存在潜在联系或共享代码。据信，Skuld 是一名开发人员创建的，该开发人员使用在线笔名 Deathined 进行运营。

Skuld 恶意软件可以终止被入侵系统上的预定进程

在执行时，Skuld 恶意软件采用多种规避技术来阻止分析，包括检查它是否在虚拟环境中运行。这样做是为了阻碍研究人员了解其行为和功能的努力。此外，Skuld 提取受感染系统上当前正在运行的进程列表，并将其与预定义的阻止列表进行比较。如果任何进程与黑名单中存在的进程相匹配，Skuld 不会自行终止，而是继续终止匹配的进程，可能旨在抵消安全措施或阻碍检测。

除了收集系统元数据外，Skuld 还能够收集有价值的信息，例如存储在 Web 浏览器中的 cookie 和凭据。它还针对位于 Windows 用户配置文件文件夹中的特定文件，包括桌面、文档、下载、图片、音乐、视频和 OneDrive。通过以这些文件夹为目标，Skuld 旨在访问并可能泄露敏感的用户数据，包括个人文件和基本文档。

对恶意软件工件的分析表明，它蓄意破坏与 Better Discord 和 Discord Token Protector 相关的合法文件。这种威胁性活动表明企图破坏 Discord 用户使用的合法软件的功能。此外，Skuld 采用了一种类似于另一种基于 Rust 编程语言的信息窃取器的技术，它将 JavaScript 代码注入 Discord 应用程序以提取备份代码。这种技术强调了 Skuld 信息收集能力的复杂性及其破坏用户帐户和访问其他机密信息的意图。

Skuld 恶意软件可能会执行其他威胁活动

Skuld 恶意软件的某些样本已经证明包含一个 clipper 模块，该模块旨在操纵剪贴板的内容。该模块允许 Skuld 通过将加密货币钱包地址替换为攻击者控制的地址来参与加密货币盗窃。 clipper 模块可能仍在开发中，这表明 Skuld 未来可能会增强窃取加密货币资产的能力。

所收集数据的泄露是通过两种主要方法实现的。首先，该恶意软件利用了一个由攻击者控制的 Discord webhook，使攻击者能够将窃取的信息传输到他们的基础设施。或者，Skuld 使用 Gofile 上传服务，将收集的数据作为 ZIP 文件上传。在这种情况下，使用相同的 Discord webhook 功能将访问包含泄露数据的上传 ZIP 文件的参考 URL 发送给攻击者。

Skuld 的存在及其不断发展的功能展示了威胁参与者利用 Go 编程语言的增长趋势。 Go 的简单性、高效性和跨平台兼容性使其成为对攻击者具有吸引力的选择。通过利用 Go，威胁行为者可以将多个操作系统作为目标，并扩大他们的潜在受害者群体，突显出跨各种平台采取稳健安全措施的必要性。