Logiciel malveillant Skuld Infostealer utilisé contre des cibles à travers le monde

Skuld, un voleur d'informations récemment découvert écrit en Golang, a réussi à compromettre les systèmes Windows en Europe, en Asie du Sud-Est et aux États-Unis.

Selon une analyse du chercheur de Trellix, Ernesto Fernández Provecho, cette nouvelle souche de malware a pour objectif principal de voler les données sensibles de ses victimes. Il y parvient en recherchant des informations précieuses stockées dans des applications telles que Discord et les navigateurs Web, ainsi que des données système et des fichiers dans les dossiers de la victime.

Skuld présente des similitudes avec d'autres voleurs connus tels que Creal Stealer, Luna Grabber et BlackCap Grabber. Son créateur, connu en ligne sous le nom de Deathined sur des plateformes telles que GitHub, Twitter, Reddit et Tumblr, semble promouvoir activement ce logiciel malveillant via un groupe Telegram nommé deathinews.

Pour entraver les efforts d'analyse, Skuld vérifie s'il fonctionne dans un environnement virtuel lors de l'exécution. Il compile ensuite une liste des processus en cours d'exécution et la compare à une liste de blocage prédéfinie. Si un processus correspond à ceux de la liste de blocage, Skuld met fin au processus correspondant au lieu de s'arrêter automatiquement.

Liste complète des capacités de Skuld

En plus de collecter les métadonnées du système, Skuld est capable de collecter des cookies, des informations d'identification et des fichiers à partir de divers dossiers de profil utilisateur Windows, notamment Bureau, Documents, Téléchargements, Images, Musique, Vidéos et OneDrive.

L'enquête de Trellix sur le logiciel malveillant a révélé que Skuld est conçu pour altérer les fichiers légitimes associés à Better Discord et Discord Token Protector. En injectant du code JavaScript dans l'application Discord, il peut extraire des codes de sauvegarde, en utilisant une technique rappelant un infostealer basé sur Rust récemment documenté et analysé par Trend Micro.

Certains échantillons de Skuld incluent également un module clipper, qui modifie le contenu du presse-papiers et facilite le vol d'actifs de crypto-monnaie en remplaçant les adresses de portefeuille. Trellix suppose que ce module est encore en cours de développement.

Les données volées par Skuld sont exfiltrées à l'aide d'un webhook Discord contrôlé par un acteur ou du service de téléchargement Gofile. Dans ce dernier cas, l'attaquant reçoit une URL de référence contenant les données volées dans un fichier ZIP, qui est envoyé via la même fonctionnalité de webhook Discord.

Ce développement met en évidence la popularité croissante du langage de programmation Go parmi les acteurs de la menace. Sa simplicité, son efficacité et sa compatibilité multiplateforme en font un choix attrayant pour cibler plusieurs systèmes d'exploitation et élargir le bassin de victimes potentielles.

Fernández Provecho a en outre souligné que la nature compilée de Golang rend difficile pour les chercheurs en sécurité et les solutions anti-malware traditionnelles de détecter et d'atténuer efficacement ces menaces, car les auteurs de logiciels malveillants peuvent produire des exécutables binaires difficiles à analyser et à désosser.