Skuld Malware przechwytuje dane z Discorda i przeglądarki z komputerów
Skuld, niedawno odkryte złośliwe oprogramowanie kradnące informacje, napisane w Golang, z powodzeniem włamało się do systemów Windows w Europie, Azji Południowo-Wschodniej i Stanach Zjednoczonych
Według badacza Trellix, Ernesto Fernándeza Provecho, Skuld ma na celu kradzież poufnych danych od swoich ofiar. Wyszukuje cenne informacje przechowywane w aplikacjach takich jak Discord i przeglądarki internetowe, a także dane systemowe i pliki w folderach ofiary.
Skuld ma podobieństwa z innymi publicznie dostępnymi narzędziami do kradzieży, takimi jak Creal Stealer, Luna Grabber i BlackCap Grabber. Uważa się, że jest to dzieło dewelopera znanego online jako Deathined, którego można znaleźć na platformach takich jak GitHub, Twitter, Reddit i Tumblr.
Trellix odkrył również grupę Telegram o nazwie „deathinews”, co sugeruje, że te kanały online mogą być wykorzystywane do promowania Skuld jako usługi dla innych cyberprzestępców w przyszłości.
Aby uniknąć analizy, złośliwe oprogramowanie sprawdza, czy działa w środowisku wirtualnym. Kończy również procesy, które pasują do predefiniowanej listy blokad, zamiast kończyć się sam.
Możliwości Skulda
Oprócz gromadzenia metadanych systemowych, Skuld ma możliwość zbierania plików cookie, poświadczeń i plików z różnych folderów profili użytkowników systemu Windows, w tym Pulpit, Dokumenty, Pobrane, Obrazy, Muzyka, Wideo i OneDrive.
Analiza Trellix ujawniła, że Skuld ma na celu manipulowanie legalnymi plikami związanymi z Better Discord i Discord Token Protector. Wstrzykuje kod JavaScript do aplikacji Discord w celu wyodrębnienia kodów zapasowych, przypominając techniki obserwowane w innym narzędziu do kradzieży informacji opartym na Rust, jak donosi Trend Micro.
Niektóre wersje Skuld zawierają również moduł clipper, który zmienia zawartość schowka, umożliwiając kradzież zasobów kryptowaluty poprzez zamianę adresów portfela. Trellix spekuluje, że ta funkcja jest wciąż w fazie rozwoju.
Skradzione dane są eksfiltrowane za pomocą kontrolowanego przez aktora webhooka Discord lub usługi przesyłania Gofile. W tym drugim przypadku adres URL odsyłacza do przesłanego pliku ZIP zawierającego skradzione dane jest wysyłany do atakującego za pośrednictwem tej samej funkcji webhooka Discord.
Rozwój ten podkreśla coraz częstsze przyjmowanie języka programowania Go przez cyberprzestępców. Prostota, wydajność i kompatybilność między platformami sprawiają, że Go jest atrakcyjnym wyborem do atakowania wielu systemów operacyjnych i poszerzania puli potencjalnych ofiar.
