Skuld Malware toma Discord y los datos del navegador de las PC

Skuld, un malware de robo de información recientemente descubierto escrito en Golang, ha comprometido con éxito los sistemas de Windows en Europa, el sudeste asiático y los EE. UU.

Según el investigador de Trellix Ernesto Fernández Provecho, Skuld está diseñado para robar datos confidenciales de sus víctimas. Busca información valiosa almacenada en aplicaciones como Discord y navegadores web, así como datos del sistema y archivos en las carpetas de la víctima.

Skuld comparte similitudes con otros ladrones disponibles públicamente como Creal Stealer, Luna Grabber y BlackCap Grabber. Se cree que es la creación de un desarrollador conocido en línea como Deathined, que se puede encontrar en plataformas como GitHub, Twitter, Reddit y Tumblr.

Trellix también descubrió un grupo de Telegram llamado "deathinews", lo que sugiere que estos canales en línea pueden usarse para promocionar Skuld como un servicio para otros actores de amenazas en el futuro.

Para evadir el análisis, el malware comprueba si se está ejecutando en un entorno virtual. También termina los procesos que coinciden con una lista de bloqueo predefinida en lugar de terminarse a sí mismo.

Capacidades de Skuld

Además de recopilar metadatos del sistema, Skuld tiene la capacidad de recopilar cookies, credenciales y archivos de varias carpetas de perfiles de usuario de Windows, incluidos Escritorio, Documentos, Descargas, Imágenes, Música, Videos y OneDrive.

El análisis de Trellix reveló que Skuld está diseñado para manipular archivos legítimos asociados con Better Discord y Discord Token Protector. Inyecta código JavaScript en la aplicación Discord para extraer códigos de respaldo, que se asemejan a las técnicas observadas en otro ladrón de información basado en Rust, según informa Trend Micro.

Ciertas versiones de Skuld también incorporan un módulo clipper que altera el contenido del portapapeles, lo que permite el robo de activos de criptomonedas al reemplazar las direcciones de las billeteras. Trellix especula que esta función aún está en desarrollo.

Los datos robados se extraen mediante un webhook de Discord controlado por un actor o el servicio de carga de Gofile. En el caso de este último, se envía al atacante una URL de referencia al archivo ZIP cargado que contiene los datos robados a través de la misma funcionalidad de webhook de Discord.

Este desarrollo destaca la creciente adopción del lenguaje de programación Go por parte de los actores de amenazas. La simplicidad, la eficiencia y la compatibilidad multiplataforma de Go lo convierten en una opción atractiva para apuntar a múltiples sistemas operativos y expandir el grupo de víctimas potenciales.