Skuld Malware saisit Discord et les données du navigateur des PC

Skuld, un logiciel malveillant de vol d'informations récemment découvert et écrit en Golang, a réussi à compromettre les systèmes Windows en Europe, en Asie du Sud-Est et aux États-Unis.

Selon le chercheur de Trellix Ernesto Fernández Provecho, Skuld est conçu pour voler des données sensibles à ses victimes. Il recherche des informations précieuses stockées dans des applications telles que Discord et les navigateurs Web, ainsi que des données système et des fichiers dans les dossiers de la victime.

Skuld partage des similitudes avec d'autres voleurs accessibles au public tels que Creal Stealer, Luna Grabber et BlackCap Grabber. On pense qu'il s'agit de la création d'un développeur connu en ligne sous le nom de Deathined, qui peut être trouvé sur des plateformes comme GitHub, Twitter, Reddit et Tumblr.

Trellix a également découvert un groupe Telegram nommé "deathinews", suggérant que ces canaux en ligne pourraient être utilisés pour promouvoir Skuld en tant que service pour d'autres acteurs de la menace à l'avenir.

Pour échapper à l'analyse, le logiciel malveillant vérifie s'il s'exécute dans un environnement virtuel. Il met également fin aux processus qui correspondent à une liste de blocage prédéfinie au lieu de se terminer lui-même.

Capacités de Skuld

En plus de collecter les métadonnées du système, Skuld a la capacité de collecter des cookies, des informations d'identification et des fichiers à partir de divers dossiers de profil utilisateur Windows, notamment Bureau, Documents, Téléchargements, Images, Musique, Vidéos et OneDrive.

L'analyse de Trellix a révélé que Skuld est conçu pour altérer les fichiers légitimes associés à Better Discord et Discord Token Protector. Il injecte du code JavaScript dans l'application Discord pour extraire les codes de sauvegarde, ressemblant à des techniques observées dans un autre infostealer basé sur Rust, comme l'a rapporté Trend Micro.

Certaines versions de Skuld intègrent également un module clipper qui modifie le contenu du presse-papiers, permettant le vol d'actifs de crypto-monnaie en remplaçant les adresses de portefeuille. Trellix suppose que cette fonctionnalité est encore en développement.

Les données volées sont exfiltrées à l'aide d'un webhook Discord contrôlé par un acteur ou du service de téléchargement Gofile. Dans ce dernier cas, une URL de référence vers le fichier ZIP téléchargé contenant les données volées est envoyée à l'attaquant via la même fonctionnalité de webhook Discord.

Cette évolution met en évidence l'adoption croissante du langage de programmation Go par les acteurs de la menace. La simplicité, l'efficacité et la compatibilité multiplateforme de Go en font un choix attrayant pour cibler plusieurs systèmes d'exploitation et élargir le bassin de victimes potentielles.