Skuld Infostealer Malware utilizzato contro obiettivi in tutto il mondo

Skuld, un ladro di informazioni appena scoperto scritto in Golang, ha compromesso con successo i sistemi Windows in Europa, nel sud-est asiatico e negli Stati Uniti.

Secondo un'analisi del ricercatore di Trellix Ernesto Fernández Provecho, questo nuovo ceppo di malware ha l'obiettivo primario di rubare dati sensibili dalle sue vittime. Raggiunge questo obiettivo cercando informazioni preziose memorizzate in applicazioni come Discord e browser Web, nonché dati di sistema e file all'interno delle cartelle della vittima.

Skuld presenta somiglianze con altri noti ladri come Creal Stealer, Luna Grabber e BlackCap Grabber. Il suo creatore, noto online come Deathined su piattaforme come GitHub, Twitter, Reddit e Tumblr, sembra promuovere attivamente questo malware attraverso un gruppo di Telegram chiamato deathinews.

Per ostacolare gli sforzi di analisi, Skuld controlla se sta operando all'interno di un ambiente virtuale al momento dell'esecuzione. Quindi compila un elenco di processi in esecuzione e lo confronta con un elenco di blocco predefinito. Se un processo corrisponde a quelli nella lista bloccata, Skuld termina il processo corrispondente invece di terminare automaticamente.

Elenco completo delle capacità di Skuld

Oltre a raccogliere metadati di sistema, Skuld è in grado di raccogliere cookie, credenziali e file da varie cartelle del profilo utente di Windows, inclusi desktop, documenti, download, immagini, musica, video e OneDrive.

L'indagine di Trellix sul malware ha rivelato che Skuld è progettato per manomettere i file legittimi associati a Better Discord e Discord Token Protector. Inserendo il codice JavaScript nell'app Discord, può estrarre i codici di backup, utilizzando una tecnica che ricorda un infostealer basato su Rust recentemente documentato e analizzato da Trend Micro.

Alcuni campioni di Skuld includono anche un modulo clipper, che modifica il contenuto degli appunti e facilita il furto di risorse di criptovaluta sostituendo gli indirizzi dei portafogli. Trellix ipotizza che questo modulo sia ancora in fase di sviluppo.

I dati rubati da Skuld vengono esfiltrati utilizzando un webhook Discord controllato dall'attore o il servizio di caricamento di Gofile. In quest'ultimo caso, l'attaccante riceve un URL di riferimento contenente i dati rubati in un file ZIP, che viene inviato tramite la stessa funzionalità webhook di Discord.

Questo sviluppo mostra la crescente popolarità del linguaggio di programmazione Go tra gli attori delle minacce. La sua semplicità, efficienza e compatibilità multipiattaforma lo rendono una scelta allettante per prendere di mira più sistemi operativi ed espandere il pool di potenziali vittime.

Fernández Provecho ha inoltre sottolineato che la natura compilata di Golang rende difficile per i ricercatori di sicurezza e le tradizionali soluzioni anti-malware rilevare e mitigare queste minacce in modo efficace, poiché gli autori di malware possono produrre eseguibili binari difficili da analizzare e decodificare.