Skuld Malware pega discórdia e dados do navegador de PCs

Skuld, um malware de roubo de informações recentemente descoberto escrito em Golang, comprometeu com sucesso os sistemas Windows na Europa, Sudeste Asiático e Estados Unidos

De acordo com o pesquisador da Trellix, Ernesto Fernández Provecho, o Skuld foi projetado para roubar dados confidenciais de suas vítimas. Ele procura informações valiosas armazenadas em aplicativos como Discord e navegadores da web, bem como dados e arquivos do sistema nas pastas da vítima.

Skuld compartilha semelhanças com outros ladrões disponíveis publicamente, como Creal Stealer, Luna Grabber e BlackCap Grabber. Acredita-se que seja a criação de um desenvolvedor conhecido online como Deathined, que pode ser encontrado em plataformas como GitHub, Twitter, Reddit e Tumblr.

A Trellix também descobriu um grupo do Telegram chamado “deathinews”, sugerindo que esses canais online podem ser usados para promover o Skuld como um serviço para outros atores de ameaças no futuro.

Para evitar a análise, o malware verifica se está sendo executado em um ambiente virtual. Ele também encerra processos que correspondem a uma lista de bloqueio predefinida em vez de encerrar a si mesmo.

Habilidades de Skuld

Além de coletar metadados do sistema, Skuld tem a capacidade de coletar cookies, credenciais e arquivos de várias pastas de perfil de usuário do Windows, incluindo Área de Trabalho, Documentos, Downloads, Imagens, Música, Vídeos e OneDrive.

A análise da Trellix revelou que o Skuld foi projetado para adulterar arquivos legítimos associados ao Better Discord e ao Discord Token Protector. Ele injeta código JavaScript no aplicativo Discord para extrair códigos de backup, semelhante às técnicas observadas em outro infostealer baseado em Rust, conforme relatado pela Trend Micro.

Certas versões do Skuld também incorporam um módulo clipper que altera o conteúdo da área de transferência, permitindo o roubo de ativos de criptomoeda substituindo endereços de carteira. Trellix especula que esse recurso ainda está em desenvolvimento.

Os dados roubados são exfiltrados usando um webhook Discord controlado por ator ou o serviço de upload Gofile. No caso deste último, um URL de referência para o arquivo ZIP carregado contendo os dados roubados é enviado ao invasor por meio da mesma funcionalidade de webhook do Discord.

Esse desenvolvimento destaca a crescente adoção da linguagem de programação Go por agentes de ameaças. A simplicidade, eficiência e compatibilidade entre plataformas do Go o tornam uma escolha atraente para atingir vários sistemas operacionais e expandir o grupo de vítimas em potencial.