Skuld 惡意軟件

一種名為 Skuld 的新型信息收集惡意軟件，使用 Go 編程語言編寫，已成功入侵歐洲、東南亞和美國的 Windows 系統

Skuld 專門用於竊取受害者的敏感信息。為實現這一目標，它採用了多種技術，包括在 Discord 和 Web 瀏覽器等應用程序中搜索數據，以及從系統本身和存儲在受害者文件夾中的文件中提取信息。

有趣的是，Skuld 與其他公開可用的信息收集器有相似之處，例如 Creal Stealer、Luna Grabber 和 BlackCap Grabber。這些重疊的特徵表明這些惡意軟件菌株之間存在潛在聯繫或共享代碼。據信，Skuld 是一名開發人員創建的，該開發人員使用在線筆名 Deathined 進行運營。

Skuld 惡意軟件可以終止被入侵系統上的預定進程

在執行時，Skuld 惡意軟件採用多種規避技術來阻止分析，包括檢查它是否在虛擬環境中運行。這樣做是為了阻礙研究人員了解其行為和功能的努力。此外，Skuld 提取受感染系統上當前正在運行的進程列表，並將其與預定義的阻止列表進行比較。如果任何進程與黑名單中存在的進程相匹配，Skuld 不會自行終止，而是繼續終止匹配的進程，可能旨在抵消安全措施或阻礙檢測。

除了收集系統元數據外，Skuld 還能夠收集有價值的信息，例如存儲在 Web 瀏覽器中的 cookie 和憑據。它還針對位於 Windows 用戶配置文件文件夾中的特定文件，包括桌面、文檔、下載、圖片、音樂、視頻和 OneDrive。通過以這些文件夾為目標，Skuld 旨在訪問並可能洩露敏感的用戶數據，包括個人文件和基本文檔。

對惡意軟件工件的分析表明，它蓄意破壞與 Better Discord 和 Discord Token Protector 相關的合法文件。這種威脅性活動表明企圖破壞 Discord 用戶使用的合法軟件的功能。此外，Skuld 採用了一種類似於另一種基於 Rust 編程語言的信息竊取器的技術，它將 JavaScript 代碼注入 Discord 應用程序以提取備份代碼。這種技術強調了 Skuld 信息收集能力的複雜性及其破壞用戶帳戶和訪問其他機密信息的意圖。

Skuld 惡意軟件可能會執行其他威脅活動

Skuld 惡意軟件的某些樣本已經證明包含一個 clipper 模塊，該模塊旨在操縱剪貼板的內容。該模塊允許 Skuld 通過將加密貨幣錢包地址替換為攻擊者控制的地址來參與加密貨幣盜竊。 clipper 模塊可能仍在開發中，這表明 Skuld 未來可能會增強竊取加密貨幣資產的能力。

所收集數據的洩露是通過兩種主要方法實現的。首先，該惡意軟件利用了一個由攻擊者控制的 Discord webhook，使攻擊者能夠將竊取的信息傳輸到他們的基礎設施。或者，Skuld 使用 Gofile 上傳服務，將收集的數據作為 ZIP 文件上傳。在這種情況下，使用相同的 Discord webhook 功能將訪問包含洩露數據的上傳 ZIP 文件的參考 URL 發送給攻擊者。

Skuld 的存在及其不斷發展的功能展示了威脅參與者利用 Go 編程語言的增長趨勢。 Go 的簡單性、效率和跨平台兼容性使其成為攻擊者的一個有吸引力的選擇。通過利用 Go，威脅行為者可以將多個操作系統作為目標，並擴大他們的潛在受害者群體，突顯出跨各種平台採取穩健安全措施的必要性。