Złośliwe oprogramowanie Skuld Infostealer używane przeciwko celom na całym świecie

Skuld, nowo odkryty program do kradzieży informacji napisany w języku Golang, z powodzeniem włamał się do systemów Windows w Europie, Azji Południowo-Wschodniej i Stanach Zjednoczonych.

Według analizy przeprowadzonej przez badacza Trellix, Ernesto Fernándeza Provecho, głównym celem tej nowej odmiany złośliwego oprogramowania jest kradzież poufnych danych od swoich ofiar. Osiąga to poprzez wyszukiwanie cennych informacji przechowywanych w aplikacjach takich jak Discord i przeglądarkach internetowych, a także danych systemowych i plików w folderach ofiary.

Skuld wykazuje podobieństwa do innych znanych kradnących, takich jak Creal Stealer, Luna Grabber i BlackCap Grabber. Jego twórca, znany online jako Deathined na platformach takich jak GitHub, Twitter, Reddit i Tumblr, wydaje się aktywnie promować to złośliwe oprogramowanie za pośrednictwem grupy Telegram o nazwie deathinews.

Aby utrudnić analizę, Skuld po wykonaniu sprawdza, czy działa w środowisku wirtualnym. Następnie kompiluje listę uruchomionych procesów i porównuje ją z predefiniowaną listą zablokowanych. Jeśli jakikolwiek proces pasuje do tych na liście zablokowanych, Skuld kończy pasujący proces zamiast samozamykania.

Pełna lista możliwości Skulda

Oprócz gromadzenia metadanych systemowych, Skuld może zbierać pliki cookie, poświadczenia i pliki z różnych folderów profili użytkowników systemu Windows, w tym Pulpit, Dokumenty, Pobrane, Obrazy, Muzyka, Wideo i OneDrive.

Dochodzenie Trellix w sprawie złośliwego oprogramowania ujawniło, że Skuld ma na celu manipulowanie legalnymi plikami związanymi z Better Discord i Discord Token Protector. Wstrzykując kod JavaScript do aplikacji Discord, może wyodrębnić kody zapasowe, wykorzystując technikę przypominającą niedawno udokumentowaną kradzież informacji opartą na Rust, analizowaną przez firmę Trend Micro.

Niektóre próbki Skuld zawierają również moduł clipper, który modyfikuje zawartość schowka i ułatwia kradzież zasobów kryptowaluty poprzez podmianę adresów portfela. Trellix spekuluje, że ten moduł jest wciąż w fazie rozwoju.

Dane skradzione przez Skuld są eksfiltrowane za pomocą kontrolowanego przez aktora webhooka Discord lub usługi przesyłania Gofile. W przypadku tego drugiego atakujący otrzymuje referencyjny adres URL zawierający wykradzione dane w pliku ZIP, który jest wysyłany za pośrednictwem tej samej funkcjonalności webhooka Discord.

Rozwój ten pokazuje rosnącą popularność języka programowania Go wśród cyberprzestępców. Jego prostota, wydajność i kompatybilność między platformami sprawiają, że jest to atrakcyjny wybór do atakowania wielu systemów operacyjnych i poszerzania puli potencjalnych ofiar.

Fernández Provecho podkreślił ponadto, że skompilowana natura Golanga utrudnia badaczom bezpieczeństwa i tradycyjnym rozwiązaniom do ochrony przed złośliwym oprogramowaniem skuteczne wykrywanie i łagodzenie tych zagrożeń, ponieważ autorzy złośliwego oprogramowania mogą tworzyć binarne pliki wykonywalne, które są trudne do analizy i inżynierii wstecznej.