Malware Skuld Infostealer usado contra alvos em todo o mundo

Skuld, um ladrão de informações recém-descoberto escrito em Golang, comprometeu com sucesso os sistemas Windows na Europa, Sudeste Asiático e Estados Unidos.

De acordo com uma análise do pesquisador da Trellix, Ernesto Fernández Provecho, esse novo tipo de malware tem como objetivo principal roubar dados confidenciais de suas vítimas. Ele consegue isso procurando informações valiosas armazenadas em aplicativos como Discord e navegadores da web, bem como dados e arquivos do sistema nas pastas da vítima.

Skuld tem semelhanças com outros ladrões conhecidos, como Creal Stealer, Luna Grabber e BlackCap Grabber. Seu criador, conhecido online como Deathined em plataformas como GitHub, Twitter, Reddit e Tumblr, parece estar promovendo ativamente esse malware por meio de um grupo do Telegram chamado deathinews.

Para impedir os esforços de análise, Skuld verifica se está operando em um ambiente virtual durante a execução. Em seguida, ele compila uma lista de processos em execução e a compara com uma lista de bloqueio predefinida. Se algum processo corresponder aos da lista de bloqueio, Skuld encerrará o processo correspondente em vez de encerrar automaticamente.

Lista completa de capacidades de Skuld

Além de coletar metadados do sistema, Skuld é capaz de coletar cookies, credenciais e arquivos de várias pastas de perfil de usuário do Windows, incluindo Área de Trabalho, Documentos, Downloads, Imagens, Música, Vídeos e OneDrive.

A investigação da Trellix sobre o malware revelou que Skuld foi projetado para adulterar arquivos legítimos associados ao Better Discord e Discord Token Protector. Ao injetar código JavaScript no aplicativo Discord, ele pode extrair códigos de backup, empregando uma técnica que lembra um infostealer baseado em Rust recentemente documentado e analisado pela Trend Micro.

Algumas amostras de Skuld também incluem um módulo clipper, que modifica o conteúdo da área de transferência e facilita o roubo de ativos de criptomoeda substituindo endereços de carteira. Trellix especula que este módulo ainda está em desenvolvimento.

Os dados roubados por Skuld são exfiltrados usando um webhook Discord controlado por ator ou o serviço de upload Gofile. Neste último caso, o invasor recebe uma URL de referência contendo os dados roubados em um arquivo ZIP, que é enviado pela mesma funcionalidade do webhook do Discord.

Este desenvolvimento mostra a crescente popularidade da linguagem de programação Go entre os agentes de ameaças. Sua simplicidade, eficiência e compatibilidade entre plataformas o tornam uma opção atraente para atingir vários sistemas operacionais e expandir o grupo de possíveis vítimas.

Fernández Provecho enfatizou ainda que a natureza compilada do Golang torna um desafio para os pesquisadores de segurança e soluções antimalware tradicionais detectar e mitigar essas ameaças de forma eficaz, pois os autores de malware podem produzir executáveis binários difíceis de analisar e fazer engenharia reversa.