Skuld Malware grijpt onenigheid en browsergegevens van pc's

Skuld, een onlangs ontdekte informatiestelende malware geschreven in Golang, heeft met succes Windows-systemen in Europa, Zuidoost-Azië en de VS gecompromitteerd

Volgens Trellix-onderzoeker Ernesto Fernández Provecho is Skuld ontworpen om gevoelige gegevens van zijn slachtoffers te stelen. Het zoekt naar waardevolle informatie die is opgeslagen in applicaties zoals Discord en webbrowsers, evenals systeemgegevens en bestanden in de mappen van het slachtoffer.

Skuld deelt overeenkomsten met andere openbaar beschikbare stealers zoals Creal Stealer, Luna Grabber en BlackCap Grabber. Aangenomen wordt dat het de creatie is van een ontwikkelaar die online bekend staat als Deathined, die te vinden is op platforms zoals GitHub, Twitter, Reddit en Tumblr.

Trellix ontdekte ook een Telegram-groep genaamd "deathinews", wat suggereert dat deze online kanalen in de toekomst kunnen worden gebruikt om Skuld te promoten als een dienst voor andere bedreigingsactoren.

Om analyse te omzeilen, controleert de malware of deze in een virtuele omgeving draait. Het beëindigt ook processen die overeenkomen met een vooraf gedefinieerde blokkeerlijst in plaats van zichzelf te beëindigen.

De mogelijkheden van Skuld

Naast het verzamelen van systeemmetadata, heeft Skuld de mogelijkheid om cookies, inloggegevens en bestanden te verzamelen van verschillende Windows-gebruikersprofielmappen, waaronder Desktop, Documenten, Downloads, Afbeeldingen, Muziek, Video's en OneDrive.

Uit de analyse van Trellix bleek dat Skuld is ontworpen om te knoeien met legitieme bestanden die zijn gekoppeld aan Better Discord en Discord Token Protector. Het injecteert JavaScript-code in de Discord-app om back-upcodes te extraheren, vergelijkbaar met technieken die worden waargenomen in een andere infostealer op basis van Rust, zoals gerapporteerd door Trend Micro.

Bepaalde versies van Skuld bevatten ook een clipper-module die de inhoud van het klembord verandert, waardoor diefstal van cryptocurrency-activa mogelijk wordt door portemonnee-adressen te vervangen. Trellix speculeert dat deze functie nog in ontwikkeling is.

Gestolen gegevens worden geëxfiltreerd met behulp van een door een acteur bestuurde Discord-webhook of de Gofile-uploadservice. In het laatste geval wordt een referentie-URL naar het geüploade ZIP-bestand met de gestolen gegevens naar de aanvaller gestuurd via dezelfde Discord-webhook-functionaliteit.

Deze ontwikkeling benadrukt de toenemende acceptatie van de Go-programmeertaal door bedreigingsactoren. De eenvoud, efficiëntie en platformonafhankelijke compatibiliteit van Go maken het een aantrekkelijke keuze om meerdere besturingssystemen aan te vallen en de potentiële groep slachtoffers uit te breiden.