Skuld-Malware greift Discord- und Browserdaten von PCs ab
Skuld, eine kürzlich entdeckte, in Golang geschriebene Malware zum Informationsdiebstahl, hat erfolgreich Windows-Systeme in Europa, Südostasien und den USA kompromittiert
Laut Trellix-Forscher Ernesto Fernández Provecho soll Skuld sensible Daten von seinen Opfern stehlen. Es sucht nach wertvollen Informationen, die in Anwendungen wie Discord und Webbrowsern gespeichert sind, sowie nach Systemdaten und Dateien in den Ordnern des Opfers.
Skuld hat Ähnlichkeiten mit anderen öffentlich zugänglichen Stealern wie Creal Stealer, Luna Grabber und BlackCap Grabber. Es wird angenommen, dass es sich um die Schöpfung eines Entwicklers handelt, der online als Deathined bekannt ist und auf Plattformen wie GitHub, Twitter, Reddit und Tumblr zu finden ist.
Trellix entdeckte auch eine Telegram-Gruppe namens „deathinews“, was darauf hindeutet, dass diese Online-Kanäle künftig genutzt werden könnten, um Skuld als Dienst für andere Bedrohungsakteure zu bewerben.
Um einer Analyse zu entgehen, prüft die Malware, ob sie in einer virtuellen Umgebung ausgeführt wird. Es beendet auch Prozesse, die einer vordefinierten Blockliste entsprechen, anstatt sich selbst zu beenden.
Skulds Fähigkeiten
Zusätzlich zum Sammeln von Systemmetadaten verfügt Skuld über die Möglichkeit, Cookies, Anmeldeinformationen und Dateien aus verschiedenen Windows-Benutzerprofilordnern zu sammeln, darunter Desktop, Dokumente, Downloads, Bilder, Musik, Videos und OneDrive.
Die Analyse von Trellix ergab, dass Skuld darauf ausgelegt ist, legitime Dateien zu manipulieren, die mit Better Discord und Discord Token Protector in Verbindung stehen. Es fügt JavaScript-Code in die Discord-App ein, um Backup-Codes zu extrahieren. Dies ähnelt Techniken, die bei einem anderen auf Rust basierenden Infostealer beobachtet wurden, wie von Trend Micro berichtet.
Bestimmte Versionen von Skuld enthalten auch ein Clipper-Modul, das den Inhalt der Zwischenablage ändert und so den Diebstahl von Kryptowährungsbeständen durch Ersetzen von Wallet-Adressen ermöglicht. Trellix vermutet, dass sich diese Funktion noch in der Entwicklung befindet.
Gestohlene Daten werden entweder über einen von Akteuren kontrollierten Discord-Webhook oder den Gofile-Upload-Dienst exfiltriert. Im letzteren Fall wird über dieselbe Discord-Webhook-Funktionalität eine Referenz-URL zur hochgeladenen ZIP-Datei mit den gestohlenen Daten an den Angreifer gesendet.
Diese Entwicklung unterstreicht die zunehmende Akzeptanz der Programmiersprache Go durch Bedrohungsakteure. Die Einfachheit, Effizienz und plattformübergreifende Kompatibilität von Go machen es zu einer attraktiven Wahl für die Bekämpfung mehrerer Betriebssysteme und die Erweiterung des potenziellen Opferpools.
