Skuld Infostealer-Malware wird gegen Ziele auf der ganzen Welt eingesetzt

Skuld, ein neu entdeckter, in Golang geschriebener Informationsdiebstahler, hat erfolgreich Windows-Systeme in Europa, Südostasien und den Vereinigten Staaten kompromittiert.

Laut einer Analyse des Trellix-Forschers Ernesto Fernández Provecho besteht das Hauptziel dieser neuen Schadsoftware darin, sensible Daten von ihren Opfern zu stehlen. Dies wird erreicht, indem nach wertvollen Informationen gesucht wird, die in Anwendungen wie Discord und Webbrowsern gespeichert sind, sowie nach Systemdaten und Dateien in den Ordnern des Opfers.

Skuld weist Ähnlichkeiten mit anderen bekannten Stealern wie Creal Stealer, Luna Grabber und BlackCap Grabber auf. Sein Ersteller, der online auf Plattformen wie GitHub, Twitter, Reddit und Tumblr als Deathined bekannt ist, scheint diese Malware über eine Telegram-Gruppe namens Deathinews aktiv zu bewerben.

Um den Analyseaufwand zu erschweren, prüft Skuld bei der Ausführung, ob es in einer virtuellen Umgebung läuft. Anschließend wird eine Liste der laufenden Prozesse zusammengestellt und mit einer vordefinierten Blockliste verglichen. Wenn ein Prozess mit denen auf der Sperrliste übereinstimmt, beendet Skuld den übereinstimmenden Prozess, anstatt sich selbst zu beenden.

Skulds vollständige Liste der Fähigkeiten

Zusätzlich zum Sammeln von Systemmetadaten ist Skuld in der Lage, Cookies, Anmeldeinformationen und Dateien aus verschiedenen Windows-Benutzerprofilordnern zu sammeln, darunter Desktop, Dokumente, Downloads, Bilder, Musik, Videos und OneDrive.

Die Untersuchung der Malware durch Trellix ergab, dass Skuld darauf ausgelegt ist, legitime Dateien zu manipulieren, die mit Better Discord und Discord Token Protector in Verbindung stehen. Durch das Einfügen von JavaScript-Code in die Discord-App können Backup-Codes extrahiert werden. Dabei kommt eine Technik zum Einsatz, die an einen kürzlich dokumentierten Rust-basierten Infostealer erinnert, der von Trend Micro analysiert wurde.

Bestimmte Beispiele von Skuld enthalten auch ein Clipper-Modul, das den Inhalt der Zwischenablage ändert und den Diebstahl von Kryptowährungsbeständen durch Ersetzen von Wallet-Adressen erleichtert. Trellix vermutet, dass sich dieses Modul noch in der Entwicklung befindet.

Von Skuld gestohlene Daten werden über einen von Akteuren kontrollierten Discord-Webhook oder den Gofile-Upload-Dienst exfiltriert. Im letzteren Fall erhält der Angreifer eine Referenz-URL mit den gestohlenen Daten in einer ZIP-Datei, die über dieselbe Discord-Webhook-Funktionalität gesendet wird.

Diese Entwicklung verdeutlicht die wachsende Beliebtheit der Programmiersprache Go bei Bedrohungsakteuren. Seine Einfachheit, Effizienz und plattformübergreifende Kompatibilität machen es zu einer attraktiven Wahl für die Bekämpfung mehrerer Betriebssysteme und die Erweiterung des Kreises potenzieller Opfer.

Fernández Provecho betonte außerdem, dass die kompilierte Natur von Golang es für Sicherheitsforscher und herkömmliche Anti-Malware-Lösungen zu einer Herausforderung macht, diese Bedrohungen effektiv zu erkennen und abzuwehren, da Malware-Autoren binäre ausführbare Dateien erstellen können, die schwer zu analysieren und zurückzuentwickeln sind.