Skuld Infostealer-malware gebruikt tegen doelen over de hele wereld

Skuld, een nieuw ontdekte informatiedief geschreven in Golang, heeft met succes Windows-systemen gecompromitteerd in Europa, Zuidoost-Azië en de Verenigde Staten.

Volgens een analyse van Trellix-onderzoeker Ernesto Fernández Provecho heeft deze nieuwe soort malware als hoofddoel het stelen van gevoelige gegevens van zijn slachtoffers. Het bereikt dit door te zoeken naar waardevolle informatie die is opgeslagen in applicaties zoals Discord en webbrowsers, evenals systeemgegevens en bestanden in de mappen van het slachtoffer.

Skuld vertoont overeenkomsten met andere bekende stealers zoals Creal Stealer, Luna Grabber en BlackCap Grabber. De maker, die online bekend staat als Deathined op platforms als GitHub, Twitter, Reddit en Tumblr, lijkt deze malware actief te promoten via een Telegram-groep genaamd deathinews.

Om analyse-inspanningen te belemmeren, controleert Skuld tijdens de uitvoering of het in een virtuele omgeving werkt. Vervolgens stelt het een lijst met lopende processen samen en vergelijkt deze met een vooraf gedefinieerde blokkeerlijst. Als een proces overeenkomt met die op de blokkeerlijst, beëindigt Skuld het overeenkomende proces in plaats van zichzelf te beëindigen.

Skuld's volledige lijst met mogelijkheden

Naast het verzamelen van systeemmetadata, is Skuld in staat om cookies, inloggegevens en bestanden uit verschillende Windows-gebruikersprofielmappen te verzamelen, waaronder Desktop, Documenten, Downloads, Afbeeldingen, Muziek, Video's en OneDrive.

Uit het onderzoek van Trellix naar de malware bleek dat Skuld is ontworpen om te knoeien met legitieme bestanden die zijn gekoppeld aan Better Discord en Discord Token Protector. Door JavaScript-code in de Discord-app te injecteren, kan het back-upcodes extraheren, waarbij een techniek wordt gebruikt die doet denken aan een onlangs gedocumenteerde op Rust gebaseerde infostealer die is geanalyseerd door Trend Micro.

Bepaalde voorbeelden van Skuld bevatten ook een clipper-module, die de inhoud van het klembord wijzigt en de diefstal van cryptocurrency-activa vergemakkelijkt door portemonnee-adressen te vervangen. Trellix speculeert dat deze module nog in ontwikkeling is.

Gegevens die door Skuld zijn gestolen, worden geëxfiltreerd met behulp van een door een acteur bestuurde Discord-webhook of de Gofile-uploadservice. In het laatste geval ontvangt de aanvaller een referentie-URL met de gestolen gegevens in een ZIP-bestand, dat via dezelfde Discord-webhook-functionaliteit wordt verzonden.

Deze ontwikkeling toont de groeiende populariteit van de Go-programmeertaal onder bedreigingsactoren. De eenvoud, efficiëntie en platformonafhankelijke compatibiliteit maken het een aantrekkelijke keuze om meerdere besturingssystemen aan te vallen en de pool van potentiële slachtoffers uit te breiden.

Fernández Provecho benadrukte verder dat de gecompileerde aard van Golang het voor beveiligingsonderzoekers en traditionele anti-malware-oplossingen een uitdaging maakt om deze bedreigingen effectief te detecteren en te verminderen, aangezien malware-auteurs binaire uitvoerbare bestanden kunnen produceren die moeilijk te analyseren en te reverse-engineeren zijn.