Skuld Malware fanger Discord og browserdata fra pc'er

Skuld, en nyligt opdaget informationstjælende malware skrevet i Golang, har med succes kompromitteret Windows-systemer i Europa, Sydøstasien og USA

Ifølge Trellix-forsker Ernesto Fernández Provecho er Skuld designet til at stjæle følsomme data fra sine ofre. Den søger efter værdifuld information, der er gemt i applikationer som Discord og webbrowsere, samt systemdata og filer i ofrets mapper.

Skuld deler ligheder med andre offentligt tilgængelige stjælere såsom Creal Stealer, Luna Grabber og BlackCap Grabber. Det menes at være skabelsen af en udvikler kendt online som Deathined, som kan findes på platforme som GitHub, Twitter, Reddit og Tumblr.

Trellix opdagede også en Telegram-gruppe ved navn "deathinews", hvilket tyder på, at disse online-kanaler kan blive brugt til at promovere Skuld som en service for andre trusselsaktører i fremtiden.

For at undgå analyse tjekker malwaren, om den kører i et virtuelt miljø. Det afslutter også processer, der matcher en foruddefineret blokeringsliste i stedet for at afslutte sig selv.

Skulds Evner

Udover at indsamle systemmetadata har Skuld mulighed for at indsamle cookies, legitimationsoplysninger og filer fra forskellige Windows-brugerprofilmapper, herunder Desktop, Dokumenter, Downloads, Billeder, Musik, Videoer og OneDrive.

Trellix' analyse afslørede, at Skuld er designet til at manipulere med legitime filer forbundet med Better Discord og Discord Token Protector. Den injicerer JavaScript-kode i Discord-appen for at udtrække backup-koder, der ligner teknikker observeret i en anden infostealer baseret på Rust, som rapporteret af Trend Micro.

Visse versioner af Skuld inkorporerer også et clipper-modul, der ændrer klippebordets indhold, hvilket tillader tyveri af cryptocurrency-aktiver ved at erstatte tegnebogsadresser. Trellix spekulerer i, at denne funktion stadig er under udvikling.

Stjålne data eksfiltreres ved hjælp af enten en skuespillerstyret Discord-webhook eller Gofile-uploadtjenesten. I sidstnævnte tilfælde sendes en reference-URL til den uploadede ZIP-fil, der indeholder de stjålne data, til angriberen via den samme Discord-webhook-funktionalitet.

Denne udvikling fremhæver trusselsaktørernes stigende anvendelse af Go-programmeringssproget. Go's enkelhed, effektivitet og kompatibilitet på tværs af platforme gør det til et attraktivt valg til at målrette mod flere operativsystemer og udvide den potentielle ofrepulje.