Skuld Infostealer Malware brugt mod mål over hele verden

Skuld, en nyopdaget informationstyver skrevet i Golang, har med succes kompromitteret Windows-systemer i Europa, Sydøstasien og USA.

Ifølge en analyse foretaget af Trellix-forsker Ernesto Fernández Provecho har denne friske stamme af malware et primært formål med at stjæle følsomme data fra sine ofre. Den opnår dette ved at søge efter værdifuld information, der er gemt i applikationer som Discord og webbrowsere, samt systemdata og filer i ofrets mapper.

Skuld har ligheder med andre kendte stjælere som Creal Stealer, Luna Grabber og BlackCap Grabber. Dets skaber, der er kendt online som Deathined på platforme som GitHub, Twitter, Reddit og Tumblr, ser ud til aktivt at promovere denne malware gennem en Telegram-gruppe ved navn deathinews.

For at hindre analyseindsatsen tjekker Skuld, om det fungerer i et virtuelt miljø ved udførelse. Den kompilerer derefter en liste over kørende processer og sammenligner den med en foruddefineret blokeringsliste. Hvis en proces matcher dem på blokeringslisten, afslutter Skuld den matchede proces i stedet for selv-terminering.

Skulds fulde liste over muligheder

Ud over at indsamle systemmetadata er Skuld i stand til at høste cookies, legitimationsoplysninger og filer fra forskellige Windows-brugerprofilmapper, herunder Desktop, Dokumenter, Downloads, Billeder, Musik, Videoer og OneDrive.

Trellix' undersøgelse af malwaren afslørede, at Skuld er designet til at manipulere med legitime filer forbundet med Better Discord og Discord Token Protector. Ved at injicere JavaScript-kode i Discord-appen kan den udtrække backup-koder ved at bruge en teknik, der minder om en nyligt dokumenteret Rust-baseret infostealer analyseret af Trend Micro.

Visse eksempler på Skuld inkluderer også et klippemodul, som ændrer klippebordets indhold og letter tyveri af cryptocurrency-aktiver ved at erstatte tegnebogsadresser. Trellix spekulerer i, at dette modul stadig er under udvikling.

Data stjålet af Skuld eksfiltreres ved hjælp af en skuespillerstyret Discord-webhook eller Gofile-uploadtjenesten. I sidstnævnte tilfælde modtager angriberen en reference-URL indeholdende de stjålne data i en ZIP-fil, som sendes gennem den samme Discord webhook-funktionalitet.

Denne udvikling viser den voksende popularitet af programmeringssproget Go blandt trusselsaktører. Dens enkelhed, effektivitet og kompatibilitet på tværs af platforme gør det til et tiltalende valg til at målrette mod flere operativsystemer og udvide puljen af potentielle ofre.

Fernández Provecho understregede yderligere, at Golangs kompilerede karakter gør det udfordrende for sikkerhedsforskere og traditionelle anti-malware-løsninger at opdage og afbøde disse trusler effektivt, da malware-forfattere kan producere binære eksekverbare filer, der er svære at analysere og omvendt konstruere.