Το Skuld Malware συλλαμβάνει δεδομένα Discord και Browser από υπολογιστές
Το Skuld, ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα για κλοπή πληροφοριών γραμμένο στο Golang, έχει θέσει σε κίνδυνο τα συστήματα Windows στην Ευρώπη, τη Νοτιοανατολική Ασία και τις ΗΠΑ
Σύμφωνα με τον ερευνητή της Trellix, Ernesto Fernández Provecho, το Skuld έχει σχεδιαστεί για να κλέβει ευαίσθητα δεδομένα από τα θύματά του. Αναζητά πολύτιμες πληροφορίες που είναι αποθηκευμένες σε εφαρμογές όπως το Discord και τα προγράμματα περιήγησης ιστού, καθώς και δεδομένα συστήματος και αρχεία στους φακέλους του θύματος.
Το Skuld μοιράζεται ομοιότητες με άλλους δημόσια διαθέσιμους κλέφτες όπως οι Creal Stealer, Luna Grabber και BlackCap Grabber. Πιστεύεται ότι είναι η δημιουργία ενός προγραμματιστή γνωστού στο διαδίκτυο ως Deathined, ο οποίος μπορεί να βρεθεί σε πλατφόρμες όπως το GitHub, το Twitter, το Reddit και το Tumblr.
Η Trellix ανακάλυψε επίσης μια ομάδα Telegram με το όνομα "deathinews", υποδηλώνοντας ότι αυτά τα διαδικτυακά κανάλια μπορεί να χρησιμοποιηθούν για την προώθηση του Skuld ως υπηρεσίας για άλλους παράγοντες απειλών στο μέλλον.
Για να αποφύγει την ανάλυση, το κακόβουλο λογισμικό ελέγχει εάν εκτελείται σε εικονικό περιβάλλον. Τερματίζει επίσης διαδικασίες που ταιριάζουν με μια προκαθορισμένη λίστα αποκλεισμού αντί να τερματίζεται η ίδια.
Οι δυνατότητες του Skuld
Εκτός από τη συλλογή μεταδεδομένων συστήματος, το Skuld έχει τη δυνατότητα να συλλέγει cookies, διαπιστευτήρια και αρχεία από διάφορους φακέλους προφίλ χρήστη των Windows, όπως Desktop, Documents, Downloads, Pictures, Music, Videos και OneDrive.
Η ανάλυση του Trellix αποκάλυψε ότι το Skuld έχει σχεδιαστεί για να παραποιεί τα νόμιμα αρχεία που σχετίζονται με το Better Discord και το Discord Token Protector. Εισάγει κώδικα JavaScript στην εφαρμογή Discord για να εξάγει εφεδρικούς κωδικούς, που μοιάζουν με τεχνικές που παρατηρούνται σε άλλο infostealer που βασίζεται στο Rust, όπως αναφέρει η Trend Micro.
Ορισμένες εκδόσεις του Skuld ενσωματώνουν επίσης μια μονάδα κοπής που αλλάζει το περιεχόμενο του προχείρου, επιτρέποντας την κλοπή περιουσιακών στοιχείων κρυπτονομισμάτων αντικαθιστώντας τις διευθύνσεις πορτοφολιού. Η Trellix εικάζει ότι αυτό το χαρακτηριστικό βρίσκεται ακόμη σε εξέλιξη.
Τα κλεμμένα δεδομένα διεκπεραιώνονται χρησιμοποιώντας είτε ένα webhook Discord ελεγχόμενο από ηθοποιούς είτε την υπηρεσία μεταφόρτωσης Gofile. Στην περίπτωση του τελευταίου, μια διεύθυνση URL αναφοράς στο μεταφορτωμένο αρχείο ZIP που περιέχει τα κλεμμένα δεδομένα αποστέλλεται στον εισβολέα μέσω της ίδιας λειτουργικότητας του Discord webhook.
Αυτή η εξέλιξη υπογραμμίζει την αυξανόμενη υιοθέτηση της γλώσσας προγραμματισμού Go από τους παράγοντες απειλών. Η απλότητα, η αποτελεσματικότητα και η συμβατότητα μεταξύ των πλατφορμών του Go το καθιστούν ελκυστική επιλογή για τη στόχευση πολλαπλών λειτουργικών συστημάτων και την επέκταση της ομάδας πιθανών θυμάτων.
