Вредоносная программа Skuld захватывает Discord и данные браузера с ПК

Skuld, недавно обнаруженная вредоносная программа для кражи информации, написанная на Golang, успешно взломала системы Windows в Европе, Юго-Восточной Азии и США.

По словам исследователя Trellix Эрнесто Фернандеса Провечо, Skuld предназначен для кражи конфиденциальных данных у своих жертв. Он ищет ценную информацию, хранящуюся в таких приложениях, как Discord и веб-браузерах, а также системные данные и файлы в папках жертвы.

Skuld имеет сходство с другими общедоступными похитителями, такими как Creal Stealer, Luna Grabber и BlackCap Grabber. Считается, что это творение разработчика, известного в сети как Deathined, которого можно найти на таких платформах, как GitHub, Twitter, Reddit и Tumblr.

Trellix также обнаружил группу Telegram под названием «deathinews», предполагая, что эти онлайн-каналы могут использоваться для продвижения Skuld в качестве сервиса для других участников угроз в будущем.

Чтобы избежать анализа, вредоносное ПО проверяет, работает ли оно в виртуальной среде. Он также завершает процессы, которые соответствуют предварительно определенному черному списку, вместо завершения самого себя.

Возможности Скульда

Помимо сбора метаданных системы, Skuld может собирать файлы cookie, учетные данные и файлы из различных папок профиля пользователя Windows, включая «Рабочий стол», «Документы», «Загрузки», «Изображения», «Музыка», «Видео» и «OneDrive».

Анализ Trellix показал, что Skuld предназначен для подделки законных файлов, связанных с Better Discord и Discord Token Protector. Он внедряет код JavaScript в приложение Discord для извлечения резервных кодов, напоминая методы, наблюдаемые в другом информационном стилере на основе Rust, как сообщает Trend Micro.

Некоторые версии Skuld также включают в себя модуль clipper, который изменяет содержимое буфера обмена, позволяя украсть криптовалютные активы путем замены адресов кошельков. Trellix предполагает, что эта функция все еще находится в разработке.

Украденные данные извлекаются либо с помощью управляемого актером веб-перехватчика Discord, либо с помощью службы загрузки Gofile. В последнем случае URL-адрес ссылки на загруженный ZIP-файл, содержащий украденные данные, отправляется злоумышленнику через ту же функцию веб-перехватчика Discord.

Это событие свидетельствует о растущем использовании языка программирования Go злоумышленниками. Простота, эффективность и кроссплатформенная совместимость Go делают его привлекательным выбором для работы с несколькими операционными системами и расширения круга потенциальных жертв.