Skuld Infostealer 恶意软件用于攻击世界各地的目标

Skuld 是一种新发现的用 Golang 编写的信息窃取程序,已成功入侵欧洲、东南亚和美国的 Windows 系统。
根据 Trellix 研究人员 Ernesto Fernández Provecho 的分析,这种新的恶意软件的主要目标是窃取受害者的敏感数据。它通过搜索存储在 Discord 和网络浏览器等应用程序中的有价值信息,以及受害者文件夹中的系统数据和文件来实现这一点。
Skuld 与其他已知的窃取器有相似之处,例如 Creal Stealer、Luna Grabber 和 BlackCap Grabber。它的创建者在 GitHub、Twitter、Reddit 和 Tumblr 等平台上被称为 Deathined,他似乎正在通过一个名为 deathinews 的电报群积极推广这种恶意软件。
为了阻止分析工作,Skuld 在执行时检查它是否在虚拟环境中运行。然后它会编译一个正在运行的进程列表,并将其与预定义的阻止列表进行比较。如果任何进程与黑名单中的进程相匹配,Skuld 将终止匹配的进程而不是自行终止。
Skuld 的完整功能列表
除了收集系统元数据外,Skuld 还能够从各种 Windows 用户配置文件文件夹中收集 cookie、凭据和文件,包括桌面、文档、下载、图片、音乐、视频和 OneDrive。
Trellix 对该恶意软件的调查显示,Skuld 旨在篡改与 Better Discord 和 Discord Token Protector 相关的合法文件。通过将 JavaScript 代码注入 Discord 应用程序,它可以提取备份代码,采用的技术让人联想到最近由趋势科技分析的基于 Rust 的信息窃取程序。
Skuld 的某些样本还包括一个 clipper 模块,它可以修改剪贴板内容并通过替换钱包地址来促进加密货币资产的盗窃。 Trellix 推测该模块仍在开发中。
Skuld 窃取的数据是通过攻击者控制的 Discord webhook 或 Gofile 上传服务泄露的。在后者的情况下,攻击者会收到一个包含 ZIP 文件中被盗数据的参考 URL,该文件是通过相同的 Discord webhook 功能发送的。
这一发展展示了 Go 编程语言在威胁参与者中越来越受欢迎。它的简单性、效率和跨平台兼容性使其成为针对多个操作系统和扩大潜在受害者群体的有吸引力的选择。
Fernández Provecho 进一步强调,Golang 的编译特性使安全研究人员和传统的反恶意软件解决方案难以有效检测和缓解这些威胁,因为恶意软件作者可以生成难以分析和逆向工程的二进制可执行文件。