Skuld Malware henter Discord- og nettleserdata fra PC-er

Skuld, en nylig oppdaget skadelig programvare som stjeler informasjon skrevet i Golang, har vellykket kompromittert Windows-systemer i Europa, Sørøst-Asia og USA

Ifølge Trellix-forsker Ernesto Fernández Provecho er Skuld designet for å stjele sensitive data fra ofrene. Den søker etter verdifull informasjon lagret i applikasjoner som Discord og nettlesere, samt systemdata og filer i offerets mapper.

Skuld deler likheter med andre offentlig tilgjengelige stjelere som Creal Stealer, Luna Grabber og BlackCap Grabber. Det antas å være opprettelsen av en utvikler kjent online som Deathined, som kan bli funnet på plattformer som GitHub, Twitter, Reddit og Tumblr.

Trellix oppdaget også en Telegram-gruppe kalt «deathinews», noe som tyder på at disse nettkanalene kan brukes til å promotere Skuld som en tjeneste for andre trusselaktører i fremtiden.

For å unngå analyse sjekker skadelig programvare om den kjører i et virtuelt miljø. Den avslutter også prosesser som samsvarer med en forhåndsdefinert blokkeringsliste i stedet for å avslutte seg selv.

Skulds evner

I tillegg til å samle systemmetadata, har Skuld muligheten til å samle informasjonskapsler, legitimasjon og filer fra forskjellige Windows-brukerprofilmapper, inkludert skrivebord, dokumenter, nedlastinger, bilder, musikk, videoer og OneDrive.

Trellix sin analyse avslørte at Skuld er designet for å tukle med legitime filer assosiert med Better Discord og Discord Token Protector. Den injiserer JavaScript-kode i Discord-appen for å trekke ut sikkerhetskopikoder, som ligner teknikker observert i en annen infostealer basert på Rust, som rapportert av Trend Micro.

Enkelte versjoner av Skuld har også en klippemodul som endrer innholdet på utklippstavlen, og tillater tyveri av kryptovaluta-eiendeler ved å erstatte lommebokadresser. Trellix spekulerer i at denne funksjonen fortsatt er under utvikling.

Stjålne data eksfiltreres enten ved hjelp av en skuespillerkontrollert Discord-webhook eller Gofile-opplastingstjenesten. Når det gjelder sistnevnte, sendes en referanse-URL til den opplastede ZIP-filen som inneholder de stjålne dataene til angriperen via den samme Discord webhook-funksjonaliteten.

Denne utviklingen fremhever den økende bruken av Go-programmeringsspråket av trusselaktører. Gos enkelhet, effektivitet og kompatibilitet på tvers av plattformer gjør det til et attraktivt valg for målretting mot flere operativsystemer og utvide den potensielle offerbasen.