Malware Skuld Infostealer utilizado contra objetivos en todo el mundo

Skuld, un ladrón de información recién descubierto escrito en Golang, ha comprometido con éxito los sistemas Windows en Europa, el sudeste asiático y los Estados Unidos.

Según un análisis realizado por el investigador de Trellix, Ernesto Fernández Provecho, esta nueva variedad de malware tiene como objetivo principal robar datos confidenciales de sus víctimas. Lo logra buscando información valiosa almacenada en aplicaciones como Discord y navegadores web, así como datos del sistema y archivos dentro de las carpetas de la víctima.

Skuld tiene similitudes con otros ladrones conocidos como Creal Stealer, Luna Grabber y BlackCap Grabber. Su creador, conocido en línea como Deathined en plataformas como GitHub, Twitter, Reddit y Tumblr, parece estar promocionando activamente este malware a través de un grupo de Telegram llamado deathinews.

Para impedir los esfuerzos de análisis, Skuld verifica si está operando dentro de un entorno virtual al momento de la ejecución. Luego compila una lista de procesos en ejecución y la compara con una lista de bloqueo predefinida. Si algún proceso coincide con los de la lista de bloqueo, Skuld finaliza el proceso coincidente en lugar de terminar automáticamente.

Lista completa de capacidades de Skuld

Además de recopilar metadatos del sistema, Skuld es capaz de recopilar cookies, credenciales y archivos de varias carpetas de perfiles de usuario de Windows, incluidos Escritorio, Documentos, Descargas, Imágenes, Música, Videos y OneDrive.

La investigación de Trellix sobre el malware reveló que Skuld está diseñado para manipular archivos legítimos asociados con Better Discord y Discord Token Protector. Al inyectar código JavaScript en la aplicación Discord, puede extraer códigos de respaldo, empleando una técnica que recuerda a un ladrón de información basado en Rust recientemente documentado y analizado por Trend Micro.

Ciertas muestras de Skuld también incluyen un módulo clipper, que modifica el contenido del portapapeles y facilita el robo de activos de criptomonedas al reemplazar las direcciones de las billeteras. Trellix especula que este módulo aún está en desarrollo.

Los datos robados por Skuld se extraen mediante un webhook de Discord controlado por un actor o el servicio de carga de Gofile. En el caso de este último, el atacante recibe una URL de referencia que contiene los datos robados en un archivo ZIP, que se envía a través de la misma funcionalidad de webhook de Discord.

Este desarrollo muestra la creciente popularidad del lenguaje de programación Go entre los actores de amenazas. Su simplicidad, eficiencia y compatibilidad multiplataforma lo convierten en una opción atractiva para apuntar a múltiples sistemas operativos y expandir el grupo de víctimas potenciales.

Fernández Provecho enfatizó además que la naturaleza compilada de Golang hace que sea un desafío para los investigadores de seguridad y las soluciones antimalware tradicionales detectar y mitigar estas amenazas de manera efectiva, ya que los autores de malware pueden producir ejecutables binarios que son difíciles de analizar y aplicar ingeniería inversa.