„Skuld“ kenkėjiška programa paima „Discord“ ir naršyklės duomenis iš kompiuterių

Skuld, neseniai atrasta informaciją vagianti kenkėjiška programa, parašyta Golango kalba, sėkmingai palaužė Windows sistemas Europoje, Pietryčių Azijoje ir JAV.

Pasak „Trellix“ tyrėjo Ernesto Fernández Provecho, „Skuld“ yra sukurta tam, kad pavogtų slaptus duomenis iš savo aukų. Ji ieško vertingos informacijos, saugomos tokiose programose kaip „Discord“ ir interneto naršyklėse, taip pat sistemos duomenų ir failų aukos aplankuose.

„Skuld“ turi panašumų su kitais viešai prieinamais vagiliais, tokiais kaip „Creal Stealer“, „Luna Grabber“ ir „BlackCap Grabber“. Manoma, kad tai kūrėjo, žinomo internete kaip Deathined, kūrinys, kurį galima rasti tokiose platformose kaip GitHub, Twitter, Reddit ir Tumblr.

Trellix taip pat atrado „Telegram“ grupę, pavadintą „deathinews“, o tai rodo, kad šie internetiniai kanalai gali būti naudojami reklamuojant „Skuld“ kaip paslaugą kitiems grėsmės veikėjams.

Kad išvengtų analizės, kenkėjiška programa patikrina, ar ji veikia virtualioje aplinkoje. Jis taip pat nutraukia procesus, atitinkančius iš anksto nustatytą blokavimo sąrašą, o ne nutraukia save.

Skuldo galimybės

Be sistemos metaduomenų rinkimo, „Skuld“ turi galimybę rinkti slapukus, kredencialus ir failus iš įvairių „Windows“ naudotojo profilių aplankų, įskaitant darbalaukį, dokumentus, atsisiuntimus, paveikslėlius, muziką, vaizdo įrašus ir „OneDrive“.

„Trellix“ analizė atskleidė, kad „Skuld“ sukurta tam, kad sugadintų teisėtus failus, susijusius su „Better Discord“ ir „Discord Token Protector“. Jis įveda JavaScript kodą į „Discord“ programą, kad išgautų atsarginius kodus, panašius į metodus, pastebėtus kitame „Rust“ pagrindu veikiančiame informacijos stealeryje, kaip pranešė „Trend Micro“.

Tam tikrose Skuld versijose taip pat yra kirpimo modulis, kuris keičia mainų srities turinį, leidžiantį pavogti kriptovaliutos turtą pakeičiant piniginės adresus. Trellix spėja, kad ši funkcija vis dar kuriama.

Pavogti duomenys išfiltruojami naudojant aktoriaus valdomą „Discord Webhook“ arba „Gofile“ įkėlimo paslaugą. Pastarojo atveju užpuolikui siunčiamas nuorodos URL į įkeltą ZIP failą, kuriame yra pavogti duomenys, naudojant tą pačią „Discord Webhook“ funkciją.

Ši plėtra rodo, kad grėsmės veikėjai vis dažniau naudoja Go programavimo kalbą. „Go“ paprastumas, efektyvumas ir suderinamumas su įvairiomis platformomis daro jį patraukliu pasirinkimu, kai reikia taikyti kelias operacines sistemas ir išplėsti potencialių aukų grupę.