Skuld Infostealer rosszindulatú programokat használnak a célpontok ellen szerte a világon

A Skuld, egy újonnan felfedezett, Golang nyelven írt információlopó sikeresen feltörte a Windows rendszereket Európában, Délkelet-Ázsiában és az Egyesült Államokban.

A Trellix kutatója, Ernesto Fernández Provecho elemzése szerint a rosszindulatú programok e friss törzsének elsődleges célja, hogy érzékeny adatokat lopjon el áldozataitól. Ezt úgy éri el, hogy az olyan alkalmazásokban, mint a Discord és a webböngészőkben tárolt értékes információkat, valamint rendszeradatokat és fájlokat keres az áldozat mappáiban.

A Skuld hasonlóságot mutat más ismert lopókkal, mint például a Creal Stealer, a Luna Grabber és a BlackCap Grabber. Alkotója, akit Deathined néven ismernek online olyan platformokon, mint a GitHub, a Twitter, a Reddit és a Tumblr, úgy tűnik, hogy aktívan népszerűsíti ezt a kártevőt a deathinews nevű Telegram-csoporton keresztül.

Az elemzési erőfeszítések akadályozása érdekében a Skuld a végrehajtás során ellenőrzi, hogy virtuális környezetben működik-e. Ezután összeállítja a futó folyamatok listáját, és összehasonlítja egy előre meghatározott blokklistával. Ha bármely folyamat megegyezik a blokklistán szereplőkkel, a Skuld leállítja az egyeztetett folyamatot az önlezárás helyett.

A Skuld képességeinek teljes listája

A rendszer metaadatainak összegyűjtése mellett a Skuld képes cookie-kat, hitelesítő adatokat és fájlokat begyűjteni a Windows felhasználói profil különböző mappáiból, beleértve az Asztal, a Dokumentumok, a Letöltések, a Képek, a Zenék, a Videók és a OneDrive mappákat.

A Trellix a rosszindulatú szoftverrel kapcsolatos vizsgálata során kiderült, hogy a Skuld célja a Better Discord és a Discord Token Protector programokhoz kapcsolódó legitim fájlok manipulálása. JavaScript-kód beszúrásával a Discord alkalmazásba biztonsági kódokat tud kinyerni, a Trend Micro által elemzett, nemrégiben dokumentált Rust-alapú információlopásra emlékeztető technikát alkalmazva.

A Skuld egyes mintái tartalmaznak egy vágómodult is, amely módosítja a vágólap tartalmát, és megkönnyíti a kriptovaluta eszközök eltulajdonítását a pénztárcacímek lecserélésével. A Trellix úgy véli, hogy ez a modul még fejlesztés alatt áll.

A Skuld által ellopott adatokat egy színész által vezérelt Discord webhook vagy a Gofile feltöltési szolgáltatás segítségével szűrik ki. Ez utóbbi esetén a támadó egy hivatkozási URL-t kap, amely az ellopott adatokat tartalmazza egy ZIP-fájlban, amelyet ugyanazon a Discord webhook-funkción keresztül küldenek el.

Ez a fejlesztés a Go programozási nyelv növekvő népszerűségét mutatja be a fenyegetés szereplői körében. Egyszerűsége, hatékonysága és platformok közötti kompatibilitása vonzó választássá teszi több operációs rendszer megcélzásához és a potenciális áldozatok körének bővítéséhez.

Fernández Provecho továbbá hangsúlyozta, hogy a Golang összeállított jellege kihívást jelent a biztonsági kutatók és a hagyományos kártevőirtó megoldások számára ezen fenyegetések hatékony észlelése és mérséklése, mivel a rosszindulatú programok szerzői nehezen elemezhető és visszafejthető bináris végrehajtható fájlokat tudnak előállítani.