A Skuld Malware Discord- és böngészőadatokat ragad meg a számítógépekről
A Skuld, egy nemrég felfedezett, Golang nyelven írt, információlopó rosszindulatú program sikeresen feltörte a Windows rendszereket Európában, Délkelet-Ázsiában és az Egyesült Államokban.
A Trellix kutatója, Ernesto Fernández Provecho szerint a Skuldot úgy tervezték, hogy érzékeny adatokat lopjon el áldozataitól. Megkeresi az olyan alkalmazásokban, mint a Discord és a webböngészőkben tárolt értékes információkat, valamint az áldozat mappáiban található rendszeradatokat és fájlokat.
A Skuld hasonlóságot mutat más nyilvánosan elérhető tolvajokkal, mint például a Creal Stealer, a Luna Grabber és a BlackCap Grabber. Úgy gondolják, hogy egy Deathined néven ismert online fejlesztő alkotása, aki olyan platformokon található, mint a GitHub, a Twitter, a Reddit és a Tumblr.
A Trellix egy "deathinews" nevű Telegram-csoportot is felfedezett, ami azt sugallja, hogy ezek az online csatornák a jövőben felhasználhatják a Skuldot, mint szolgáltatást más fenyegetés szereplői számára.
Az elemzés elkerülése érdekében a kártevő ellenőrzi, hogy virtuális környezetben fut-e. Ezenkívül leállítja a folyamatokat, amelyek megfelelnek egy előre meghatározott blokklistának, ahelyett, hogy önmagát fejezné le.
Skuld képességei
A rendszer metaadatainak gyűjtése mellett a Skuld képes cookie-kat, hitelesítő adatokat és fájlokat gyűjteni különféle Windows felhasználói profilmappákból, beleértve az Asztal, a Dokumentumok, a Letöltések, a Képek, a Zenék, a Videók és a OneDrive mappákat.
A Trellix elemzése feltárta, hogy a Skuldot úgy tervezték, hogy manipulálja a Better Discord és a Discord Token Protector programokhoz kapcsolódó legitim fájlokat. JavaScript-kódot fecskendez be a Discord alkalmazásba, hogy kinyerje a biztonsági kódokat, ami egy másik Rust alapú infolopónál megfigyelt technikákhoz hasonlít, amint azt a Trend Micro jelentette.
A Skuld bizonyos verziói tartalmaznak egy vágómodult is, amely megváltoztatja a vágólap tartalmát, lehetővé téve a kriptovaluta eszközök eltulajdonítását a pénztárcacímek lecserélésével. A Trellix úgy véli, hogy ez a funkció még fejlesztés alatt áll.
Az ellopott adatokat a színész által vezérelt Discord webhook vagy a Gofile feltöltési szolgáltatás segítségével szűrik ki. Utóbbi esetében az ellopott adatokat tartalmazó feltöltött ZIP-fájl hivatkozási URL-je ugyanazon a Discord webhook-funkción keresztül kerül elküldésre a támadónak.
Ez a fejlesztés rávilágít arra, hogy a fenyegetés szereplői egyre inkább elfogadják a Go programozási nyelvet. A Go egyszerűsége, hatékonysága és platformok közötti kompatibilitása vonzó választássá teszi több operációs rendszer megcélzásához és a potenciális áldozatok körének bővítéséhez.
