Skuld Infostealer Malware som används mot mål över hela världen

Skuld, en nyupptäckt informationsstjälare skriven i Golang, har framgångsrikt äventyrat Windows-system i Europa, Sydostasien och USA.

Enligt en analys av Trellix-forskaren Ernesto Fernández Provecho har denna färska skadlig kod som primärt syfte att stjäla känslig data från sina offer. Den uppnår detta genom att söka efter värdefull information lagrad i applikationer som Discord och webbläsare, samt systemdata och filer i offrets mappar.

Skuld har likheter med andra kända stjälare som Creal Stealer, Luna Grabber och BlackCap Grabber. Dess skapare, som är känd online som Deathined på plattformar som GitHub, Twitter, Reddit och Tumblr, verkar aktivt marknadsföra denna malware genom en Telegram-grupp som heter deathinews.

För att försvåra analysarbetet kontrollerar Skuld om det fungerar i en virtuell miljö vid exekvering. Den sammanställer sedan en lista över pågående processer och jämför den med en fördefinierad blocklista. Om någon process matchar de på blockeringslistan, avslutar Skuld den matchade processen istället för att själv avsluta.

Skulds fullständiga lista över funktioner

Förutom att samla in systemmetadata kan Skuld samla in cookies, referenser och filer från olika Windows-användarprofilmappar, inklusive skrivbord, dokument, nedladdningar, bilder, musik, videor och OneDrive.

Trellix undersökning av skadlig programvara avslöjade att Skuld är utformad för att manipulera legitima filer associerade med Better Discord och Discord Token Protector. Genom att injicera JavaScript-kod i Discord-appen kan den extrahera reservkoder med en teknik som påminner om en nyligen dokumenterad Rust-baserad infostealer som analyserats av Trend Micro.

Vissa exempel på Skuld inkluderar också en clipper-modul, som modifierar innehållet i urklipp och underlättar stöld av kryptovalutatillgångar genom att ersätta plånboksadresser. Trellix spekulerar i att denna modul fortfarande är under utveckling.

Data som stulits av Skuld exfiltreras med en skådespelarekontrollerad Discord-webhook eller uppladdningstjänsten Gofile. I fallet med det senare får angriparen en referens-URL som innehåller stulna data i en ZIP-fil, som skickas via samma Discord webhook-funktion.

Denna utveckling visar den växande populariteten för programmeringsspråket Go bland hotaktörer. Dess enkelhet, effektivitet och plattformsoberoende kompatibilitet gör det till ett tilltalande val för att rikta in sig på flera operativsystem och utöka poolen av potentiella offer.

Fernández Provecho betonade vidare att Golangs kompilerade karaktär gör det utmanande för säkerhetsforskare och traditionella anti-malware-lösningar att upptäcka och mildra dessa hot effektivt, eftersom skadlig kodförfattare kan producera binära körbara filer som är svåra att analysera och bakåtkonstruera.