Skuld Infostealer マルウェアが世界中のターゲットに対して使用

新たに発見された Golang で書かれた情報窃盗ツールである Skuld は、ヨーロッパ、東南アジア、および米国の Windows システムを侵害することに成功しました。

Trellix の研究者である Ernesto Fernández Provecho 氏の分析によると、この新しいマルウェアの主な目的は、被害者から機密データを盗むことです。これは、Discord や Web ブラウザなどのアプリケーションに保存されている貴重な情報のほか、被害者のフォルダー内のシステム データやファイルを検索することによって実現されます。

Skuld は、Creal Stealer、Luna Grabber、BlackCap Grabber などの他の既知のスティーラーと類似点を持っています。その作成者は、GitHub、Twitter、Reddit、Tumblr などのプラットフォームでオンラインでは Deathined として知られており、deathinews という名前の Telegram グループを通じてこのマルウェアを積極的に宣伝しているようです。

分析作業を妨げるために、Skuld は実行時に仮想環境内で動作しているかどうかをチェックします。次に、実行中のプロセスのリストをコンパイルし、事前定義されたブロックリストと比較します。ブロックリストにあるプロセスと一致するプロセスがある場合、Skuld は自己終了するのではなく、一致したプロセスを終了します。

スクルドの全機能リスト

システム メタデータの収集に加えて、Skuld は、デスクトップ、ドキュメント、ダウンロード、写真、音楽、ビデオ、OneDrive などのさまざまな Windows ユーザー プロファイル フォルダーから Cookie、資格情報、およびファイルを収集することができます。

Trellix によるこのマルウェアの調査により、Skuld が Better Discord および Discord Token Protector に関連する正規のファイルを改ざんするように設計されていることが明らかになりました。 Discord アプリに JavaScript コードを挿入することで、トレンドマイクロが分析した最近文書化された Rust ベースのインフォスティーラーを彷彿とさせる手法を使用して、バックアップ コードを抽出できます。

Skuld の特定のサンプルには、クリップボードの内容を変更し、ウォレット アドレスを置き換えることで暗号通貨資産の盗難を容易にするクリッパー モジュールも含まれています。 Trellix は、このモジュールはまだ開発中であると推測しています。

Skuld によって盗まれたデータは、攻撃者が制御する Discord Webhook または Gofile アップロード サービスを使用して抽出されます。後者の場合、攻撃者は、同じ Discord Webhook 機能を通じて送信される、ZIP ファイル内の盗まれたデータを含む参照 URL を受け取ります。

この開発は、脅威アクターの間で Go プログラミング言語の人気が高まっていることを示しています。そのシンプルさ、効率性、クロスプラットフォーム互換性により、複数のオペレーティング システムをターゲットにし、潜在的な被害者のプールを拡大するための魅力的な選択肢となっています。

Fernández Provecho 氏はさらに、Golang のコンパイルされた性質により、マルウェア作成者が分析やリバース エンジニアリングが困難なバイナリ実行可能ファイルを作成する可能性があるため、セキュリティ研究者や従来のマルウェア対策ソリューションがこれらの脅威を効果的に検出して軽減することが困難になっていると強調しました。