Skuld Infostealer Malware brukt mot mål over hele verden

Skuld, en nyoppdaget informasjonstyver skrevet i Golang, har vellykket kompromittert Windows-systemer i Europa, Sørøst-Asia og USA.

I følge en analyse av Trellix-forsker Ernesto Fernández Provecho har denne ferske stammen av skadelig programvare et hovedmål å stjele sensitive data fra ofrene. Den oppnår dette ved å søke etter verdifull informasjon lagret i applikasjoner som Discord og nettlesere, samt systemdata og filer i offerets mapper.

Skuld har likheter med andre kjente stjelere som Creal Stealer, Luna Grabber og BlackCap Grabber. Skaperen, som er kjent online som Deathined på plattformer som GitHub, Twitter, Reddit og Tumblr, ser ut til å aktivt promotere denne malware gjennom en Telegram-gruppe kalt deathinews.

For å hindre analysearbeid, sjekker Skuld om den opererer i et virtuelt miljø ved utførelse. Den kompilerer deretter en liste over kjørende prosesser og sammenligner den med en forhåndsdefinert blokkeringsliste. Hvis noen prosess samsvarer med de på blokkeringslisten, avslutter Skuld den matchede prosessen i stedet for selvterminering.

Skulds fullstendige liste over evner

I tillegg til å samle systemmetadata, er Skuld i stand til å hente informasjonskapsler, legitimasjon og filer fra forskjellige Windows-brukerprofilmapper, inkludert skrivebord, dokumenter, nedlastinger, bilder, musikk, videoer og OneDrive.

Trellix' undersøkelse av skadelig programvare avslørte at Skuld er designet for å tukle med legitime filer assosiert med Better Discord og Discord Token Protector. Ved å injisere JavaScript-kode i Discord-appen, kan den trekke ut sikkerhetskopikoder ved å bruke en teknikk som minner om en nylig dokumentert Rust-basert infostealer analysert av Trend Micro.

Enkelte eksempler på Skuld inkluderer også en klippemodul, som endrer innholdet på utklippstavlen og letter tyveri av kryptovaluta-eiendeler ved å erstatte lommebokadresser. Trellix spekulerer i at denne modulen fortsatt er under utvikling.

Data stjålet av Skuld blir eksfiltrert ved hjelp av en skuespillerkontrollert Discord-webhook eller Gofile-opplastingstjenesten. Når det gjelder sistnevnte, mottar angriperen en referanse-URL som inneholder de stjålne dataene i en ZIP-fil, som sendes gjennom den samme Discord webhook-funksjonaliteten.

Denne utviklingen viser den økende populariteten til programmeringsspråket Go blant trusselaktører. Dens enkelhet, effektivitet og kompatibilitet på tvers av plattformer gjør det til et tiltalende valg for målretting mot flere operativsystemer og utvide utvalget av potensielle ofre.

Fernández Provecho understreket videre at Golangs kompilerte natur gjør det utfordrende for sikkerhetsforskere og tradisjonelle anti-malware-løsninger å oppdage og redusere disse truslene effektivt, ettersom skadevareforfattere kan produsere binære kjørbare filer som er vanskelige å analysere og reversere.