Skuld Malware afferra i dati di Discord e del browser dai PC

Skuld, un malware per il furto di informazioni scoperto di recente e scritto in Golang, ha compromesso con successo i sistemi Windows in Europa, nel sud-est asiatico e negli Stati Uniti

Secondo il ricercatore di Trellix Ernesto Fernández Provecho, Skuld è progettato per rubare dati sensibili dalle sue vittime. Cerca informazioni preziose memorizzate in applicazioni come Discord e browser Web, nonché dati di sistema e file nelle cartelle della vittima.

Skuld condivide somiglianze con altri stealer pubblicamente disponibili come Creal Stealer, Luna Grabber e BlackCap Grabber. Si ritiene che sia la creazione di uno sviluppatore noto online come Deathined, che può essere trovato su piattaforme come GitHub, Twitter, Reddit e Tumblr.

Trellix ha anche scoperto un gruppo Telegram chiamato "deathinews", suggerendo che questi canali online potrebbero essere utilizzati per promuovere Skuld come servizio per altri attori delle minacce in futuro.

Per eludere l'analisi, il malware controlla se è in esecuzione in un ambiente virtuale. Termina anche i processi che corrispondono a una lista di blocco predefinita invece di terminare se stesso.

Le capacità di Skuld

Oltre a raccogliere metadati di sistema, Skuld ha la possibilità di raccogliere cookie, credenziali e file da varie cartelle del profilo utente di Windows, tra cui Desktop, Documenti, Download, Immagini, Musica, Video e OneDrive.

L'analisi di Trellix ha rivelato che Skuld è progettato per manomettere i file legittimi associati a Better Discord e Discord Token Protector. Inietta il codice JavaScript nell'app Discord per estrarre i codici di backup, simili alle tecniche osservate in un altro infostealer basato su Rust, come riportato da Trend Micro.

Alcune versioni di Skuld incorporano anche un modulo clipper che altera il contenuto degli appunti, consentendo il furto di risorse di criptovaluta sostituendo gli indirizzi dei portafogli. Trellix ipotizza che questa funzionalità sia ancora in fase di sviluppo.

I dati rubati vengono esfiltrati utilizzando un webhook Discord controllato dall'attore o il servizio di caricamento di Gofile. In quest'ultimo caso, un URL di riferimento al file ZIP caricato contenente i dati rubati viene inviato all'attaccante tramite la stessa funzionalità webhook di Discord.

Questo sviluppo evidenzia la crescente adozione del linguaggio di programmazione Go da parte degli attori delle minacce. La semplicità, l'efficienza e la compatibilità multipiattaforma di Go lo rendono una scelta allettante per prendere di mira più sistemi operativi ed espandere il potenziale pool di vittime.