„Skuld Infostealer“ kenkėjiška programa, naudojama prieš taikinius visame pasaulyje

Skuld, naujai atrastas informacijos vagis, parašytas Golango kalba, sėkmingai sukompromitavo Windows sistemas Europoje, Pietryčių Azijoje ir JAV.

Remiantis Trellix tyrėjo Ernesto Fernández Provecho analize, šios naujos kenkėjiškos programos pagrindinis tikslas yra pagrobti slaptus duomenis iš jos aukų. Tai pasiekiama ieškant vertingos informacijos, saugomos tokiose programose kaip „Discord“ ir žiniatinklio naršyklėse, taip pat sistemos duomenų ir failų aukos aplankuose.

Skuld turi panašumų su kitais žinomais vagiliais, tokiais kaip Creal Stealer, Luna Grabber ir BlackCap Grabber. Panašu, kad jos kūrėjas, internete žinomas kaip Deathined tokiose platformose kaip GitHub, Twitter, Reddit ir Tumblr, aktyviai reklamuoja šią kenkėjišką programą per Telegram grupę, pavadintą deathinews.

Siekdama apsunkinti analizės pastangas, Skuld patikrina, ar ji veikia virtualioje aplinkoje. Tada jis sudaro vykdomų procesų sąrašą ir palygina jį su iš anksto nustatytu blokavimo sąrašu. Jei kuris nors procesas atitinka blokavimo sąraše esančius procesus, Skuld užbaigia suderintą procesą, o ne savaime baigiasi.

Visas „Skuld“ galimybių sąrašas

Be sistemos metaduomenų rinkimo, „Skuld“ gali rinkti slapukus, kredencialus ir failus iš įvairių „Windows“ naudotojo profilių aplankų, įskaitant darbalaukį, dokumentus, atsisiuntimus, paveikslėlius, muziką, vaizdo įrašus ir „OneDrive“.

„Trellix“ tyrimas dėl kenkėjiškų programų atskleidė, kad „Skuld“ sukurtas tam, kad sugadintų teisėtus failus, susijusius su „Better Discord“ ir „Discord Token Protector“. Įvesdama JavaScript kodą į „Discord“ programą, ji gali išgauti atsarginius kodus, naudodama techniką, primenančią neseniai dokumentuotą „Rust“ pagrindu sukurtą informacijos stealerį, kurį išanalizavo „Trend Micro“.

Kai kuriuose „Skuld“ pavyzdžiuose taip pat yra kirpimo modulis, kuris keičia mainų srities turinį ir palengvina kriptovaliutos turto vagystę, pakeičiant piniginės adresus. Trellix spėja, kad šis modulis vis dar kuriamas.

Skuldo pavogti duomenys išfiltruojami naudojant aktoriaus valdomą „Discord Webhook“ arba „Gofile“ įkėlimo paslaugą. Pastarojo atveju užpuolikas gauna nuorodos URL, kuriame yra pavogti duomenys ZIP faile, kuris siunčiamas naudojant tą pačią „Discord Webhook“ funkciją.

Ši plėtra demonstruoja augantį „Go“ programavimo kalbos populiarumą tarp grėsmės veikėjų. Dėl savo paprastumo, efektyvumo ir kelių platformų suderinamumo jis yra patrauklus pasirinkimas norint taikyti kelias operacines sistemas ir išplėsti potencialių aukų grupę.

Fernández Provecho taip pat pabrėžė, kad dėl Golango sudarymo pobūdžio saugumo tyrinėtojams ir tradiciniams kovos su kenkėjiškomis programomis sprendimams sudėtinga veiksmingai aptikti ir sušvelninti šias grėsmes, nes kenkėjiškų programų autoriai gali sukurti dvejetainius vykdomuosius failus, kuriuos sunku analizuoti ir pakeisti.