Κακόβουλο λογισμικό Skuld Infostealer που χρησιμοποιείται ενάντια σε στόχους σε όλο τον κόσμο

Ο Skuld, ένας πρόσφατα ανακαλυφμένος κλέφτης πληροφοριών γραμμένος στο Golang, έχει θέσει σε κίνδυνο τα συστήματα Windows στην Ευρώπη, τη Νοτιοανατολική Ασία και τις Ηνωμένες Πολιτείες.

Σύμφωνα με μια ανάλυση του ερευνητή της Trellix, Ernesto Fernández Provecho, αυτή η νέα ποικιλία κακόβουλου λογισμικού έχει πρωταρχικό στόχο την κλοπή ευαίσθητων δεδομένων από τα θύματά του. Αυτό το επιτυγχάνει αναζητώντας πολύτιμες πληροφορίες που είναι αποθηκευμένες σε εφαρμογές όπως το Discord και τα προγράμματα περιήγησης ιστού, καθώς και δεδομένα συστήματος και αρχεία στους φακέλους του θύματος.

Το Skuld έχει ομοιότητες με άλλους γνωστούς κλέφτες όπως οι Creal Stealer, Luna Grabber και BlackCap Grabber. Ο δημιουργός του, ο οποίος είναι γνωστός στο διαδίκτυο ως Deathined σε πλατφόρμες όπως το GitHub, το Twitter, το Reddit και το Tumblr, φαίνεται να προωθεί ενεργά αυτό το κακόβουλο λογισμικό μέσω μιας ομάδας Telegram που ονομάζεται deathinews.

Για να εμποδίσει τις προσπάθειες ανάλυσης, το Skuld ελέγχει εάν λειτουργεί σε εικονικό περιβάλλον κατά την εκτέλεση. Στη συνέχεια, συντάσσει μια λίστα με διεργασίες που εκτελούνται και τη συγκρίνει με μια προκαθορισμένη λίστα αποκλεισμού. Εάν οποιαδήποτε διεργασία ταιριάζει με αυτές στη λίστα αποκλεισμού, το Skuld τερματίζει την αντιστοιχισμένη διαδικασία αντί να αυτοτερματίζεται.

Ο πλήρης κατάλογος δυνατοτήτων του Skuld

Εκτός από τη συλλογή μεταδεδομένων του συστήματος, το Skuld μπορεί να συλλέγει cookies, διαπιστευτήρια και αρχεία από διάφορους φακέλους προφίλ χρήστη των Windows, όπως Desktop, Documents, Downloads, Pictures, Music, Videos και OneDrive.

Η έρευνα της Trellix για το κακόβουλο λογισμικό αποκάλυψε ότι το Skuld έχει σχεδιαστεί για να παραποιεί νόμιμα αρχεία που σχετίζονται με το Better Discord και το Discord Token Protector. Με την έγχυση κώδικα JavaScript στην εφαρμογή Discord, μπορεί να εξάγει εφεδρικούς κωδικούς, χρησιμοποιώντας μια τεχνική που θυμίζει πρόσφατα τεκμηριωμένο infostealer βασισμένο σε Rust που αναλύθηκε από την Trend Micro.

Ορισμένα δείγματα του Skuld περιλαμβάνουν επίσης μια μονάδα κοπής, η οποία τροποποιεί το περιεχόμενο του προχείρου και διευκολύνει την κλοπή περιουσιακών στοιχείων κρυπτονομισμάτων αντικαθιστώντας τις διευθύνσεις πορτοφολιού. Η Trellix εικάζει ότι αυτή η ενότητα είναι ακόμα υπό ανάπτυξη.

Τα δεδομένα που έχουν κλαπεί από τον Skuld εξορύσσονται χρησιμοποιώντας ένα webhook Discord που ελέγχεται από ηθοποιούς ή την υπηρεσία μεταφόρτωσης Gofile. Στην περίπτωση του τελευταίου, ο εισβολέας λαμβάνει μια διεύθυνση URL αναφοράς που περιέχει τα κλεμμένα δεδομένα σε ένα αρχείο ZIP, το οποίο αποστέλλεται μέσω της ίδιας λειτουργικότητας του Discord webhook.

Αυτή η εξέλιξη δείχνει την αυξανόμενη δημοτικότητα της γλώσσας προγραμματισμού Go μεταξύ των παραγόντων απειλών. Η απλότητα, η αποτελεσματικότητά του και η συμβατότητα μεταξύ πλατφορμών το καθιστούν ελκυστική επιλογή για τη στόχευση πολλαπλών λειτουργικών συστημάτων και την επέκταση της ομάδας των πιθανών θυμάτων.

Ο Fernández Provecho τόνισε περαιτέρω ότι η μεταγλώττιση του Golang καθιστά δύσκολο για τους ερευνητές ασφαλείας και τις παραδοσιακές λύσεις κατά του κακόβουλου λογισμικού να ανιχνεύουν και να μετριάζουν αποτελεσματικά αυτές τις απειλές, καθώς οι δημιουργοί κακόβουλου λογισμικού μπορούν να παράγουν δυαδικά εκτελέσιμα αρχεία που είναι δύσκολο να αναλυθούν και να αναστραφούν.