Skuld マルウェアが PC から Discord とブラウザ データを取得

最近発見された Golang で書かれた情報窃取マルウェアである Skuld は、ヨーロッパ、東南アジア、米国の Windows システムに侵入することに成功しました。

Trellix の研究者 Ernesto Fernández Provecho 氏によると、Skuld は被害者から機密データを盗むように設計されています。 DiscordやWebブラウザなどのアプリケーションに保存されている貴重な情報のほか、被害者のフォルダ内のシステムデータやファイルも検索します。

Skuld は、Creal Stealer、Luna Grabber、BlackCap Grabber などの他の一般公開されているスティーラーと類似点を共有しています。これは、GitHub、Twitter、Reddit、Tumblr などのプラットフォームで見られる、Deathined としてオンラインで知られる開発者の作成であると考えられています。

Trellix はまた、「deathinews」という名前の Telegram グループも発見しました。これは、これらのオンライン チャネルが将来、他の脅威アクター向けのサービスとして Skuld を宣伝するために使用される可能性があることを示唆しています。

分析を回避するために、マルウェアは仮想環境で実行されているかどうかを確認します。また、プロセス自体を終了するのではなく、事前定義されたブロックリストに一致するプロセスも終了します。

スクルドの能力

システム メタデータの収集に加えて、Skuld には、デスクトップ、ドキュメント、ダウンロード、写真、音楽、ビデオ、OneDrive などのさまざまな Windows ユーザー プロファイル フォルダーから Cookie、資格情報、およびファイルを収集する機能があります。

Trellix の分析により、Skuld は Better Discord および Discord Token Protector に関連する正規のファイルを改ざんするように設計されていることが明らかになりました。トレンドマイクロが報告したように、JavaScript コードを Discord アプリに挿入してバックアップ コードを抽出します。これは、Rust ベースの別のインフォスティーラーで観察された手法に似ています。

Skuld の特定のバージョンには、クリップボードの内容を変更するクリッパー モジュールも組み込まれており、ウォレット アドレスを置き換えることによって暗号通貨資産の盗難が可能になります。 Trellix は、この機能はまだ開発中であると推測しています。

盗まれたデータは、攻撃者が制御する Discord Webhook または Gofile アップロード サービスを使用して抽出されます。後者の場合、盗まれたデータを含むアップロードされた ZIP ファイルへの参照 URL が、同じ Discord Webhook 機能を介して攻撃者に送信されます。

この開発は、脅威アクターによる Go プログラミング言語の採用の増加を浮き彫りにしています。 Go のシンプルさ、効率性、クロスプラットフォーム互換性により、複数のオペレーティング システムをターゲットにし、潜在的な被害者プールを拡大するための魅力的な選択肢となっています。