Вредоносная программа Skuld захватывает Discord и данные браузера с ПК

Skuld, недавно обнаруженная вредоносная программа для кражи информации, написанная на Golang, успешно взломала системы Windows в Европе, Юго-Восточной Азии и США.

По словам исследователя Trellix Эрнесто Фернандеса Провечо, Skuld предназначен для кражи конфиденциальных данных у своих жертв. Он ищет ценную информацию, хранящуюся в таких приложениях, как Discord и веб-браузерах, а также системные данные и файлы в папках жертвы.

Skuld имеет сходство с другими общедоступными похитителями, такими как Creal Stealer, Luna Grabber и BlackCap Grabber. Считается, что это творение разработчика, известного в сети как Deathined, которого можно найти на таких платформах, как GitHub, Twitter, Reddit и Tumblr.

Trellix также обнаружил группу Telegram под названием «deathinews», предполагая, что эти онлайн-каналы могут использоваться для продвижения Skuld в качестве сервиса для других участников угроз в будущем.

Чтобы избежать анализа, вредоносное ПО проверяет, работает ли оно в виртуальной среде. Он также завершает процессы, которые соответствуют предварительно определенному черному списку, вместо завершения самого себя.

Возможности Скульда

Помимо сбора метаданных системы, Skuld может собирать файлы cookie, учетные данные и файлы из различных папок профиля пользователя Windows, включая «Рабочий стол», «Документы», «Загрузки», «Изображения», «Музыка», «Видео» и «OneDrive».

Анализ Trellix показал, что Skuld предназначен для подделки законных файлов, связанных с Better Discord и Discord Token Protector. Он внедряет код JavaScript в приложение Discord для извлечения резервных кодов, напоминая методы, наблюдаемые в другом информационном стилере на основе Rust, как сообщает Trend Micro.

Некоторые версии Skuld также включают в себя модуль clipper, который изменяет содержимое буфера обмена, позволяя украсть криптовалютные активы путем замены адресов кошельков. Trellix предполагает, что эта функция все еще находится в разработке.

Украденные данные извлекаются либо с помощью управляемого актером веб-перехватчика Discord, либо с помощью службы загрузки Gofile. В последнем случае URL-адрес ссылки на загруженный ZIP-файл, содержащий украденные данные, отправляется злоумышленнику через ту же функцию веб-перехватчика Discord.

Это событие свидетельствует о растущем использовании языка программирования Go злоумышленниками. Простота, эффективность и кроссплатформенная совместимость Go делают его привлекательным выбором для работы с несколькими операционными системами и расширения круга потенциальных жертв.

June 14, 2023
Loading ...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.