Вредоносное ПО Skuld Infostealer, используемое против целей по всему миру

Skuld, недавно обнаруженный похититель информации, написанный на Golang, успешно взломал системы Windows в Европе, Юго-Восточной Азии и США.

Согласно анализу, проведенному исследователем Trellix Эрнесто Фернандесом Провечо, основная цель этого свежего штамма вредоносного ПО состоит в краже конфиденциальных данных у его жертв. Это достигается путем поиска ценной информации, хранящейся в таких приложениях, как Discord и веб-браузерах, а также системных данных и файлов в папках жертвы.

Skuld имеет сходство с другими известными похитителями, такими как Creal Stealer, Luna Grabber и BlackCap Grabber. Его создатель, известный в сети как Deathined на таких платформах, как GitHub, Twitter, Reddit и Tumblr, похоже, активно продвигает это вредоносное ПО через группу в Telegram под названием deathinews.

Чтобы помешать анализу, Skuld проверяет, работает ли он в виртуальной среде после выполнения. Затем он составляет список запущенных процессов и сравнивает его с предопределенным черным списком. Если какой-либо процесс совпадает с тем, что находится в черном списке, Skuld завершает соответствующий процесс вместо самозавершения.

Полный список возможностей Skuld

Помимо сбора метаданных системы, Skuld может собирать файлы cookie, учетные данные и файлы из различных папок профилей пользователей Windows, включая «Рабочий стол», «Документы», «Загрузки», «Изображения», «Музыка», «Видео» и «OneDrive».

Расследование Trellix в отношении вредоносного ПО показало, что Skuld предназначен для подделки законных файлов, связанных с Better Discord и Discord Token Protector. Внедряя код JavaScript в приложение Discord, он может извлекать резервные коды, используя метод, напоминающий недавно задокументированный информационный стилер на основе Rust, проанализированный Trend Micro.

Некоторые образцы Skuld также включают модуль clipper, который изменяет содержимое буфера обмена и облегчает кражу активов криптовалюты путем замены адресов кошельков. Trellix предполагает, что этот модуль все еще находится в стадии разработки.

Данные, украденные Skuld, эксфильтрируются с помощью контролируемого актером веб-перехватчика Discord или службы загрузки Gofile. В последнем случае злоумышленник получает ссылочный URL-адрес, содержащий украденные данные в ZIP-файле, который отправляется через ту же функциональность веб-перехватчика Discord.

Эта разработка демонстрирует растущую популярность языка программирования Go среди злоумышленников. Его простота, эффективность и кросс-платформенная совместимость делают его привлекательным выбором для работы с несколькими операционными системами и расширения круга потенциальных жертв.

Фернандес Провечо также подчеркнул, что скомпилированный характер Golang затрудняет эффективное обнаружение и устранение этих угроз исследователям безопасности и традиционным решениям для защиты от вредоносных программ, поскольку авторы вредоносных программ могут создавать двоичные исполняемые файлы, которые трудно анализировать и реконструировать.