Skuld 恶意软件从 PC 获取 Discord 和浏览器数据

Skuld 是一种最近发现的用 Golang 编写的信息窃取恶意软件，已成功入侵欧洲、东南亚和美国的 Windows 系统

根据 Trellix 研究员 Ernesto Fernández Provecho 的说法，Skuld 旨在窃取受害者的敏感数据。它会搜索存储在 Discord 和网络浏览器等应用程序中的有价值信息，以及受害者文件夹中的系统数据和文件。

Skuld 与其他公开可用的窃取器有相似之处，例如 Creal Stealer、Luna Grabber 和 BlackCap Grabber。它被认为是一个在网上被称为 Deathined 的开发人员的创建，可以在 GitHub、Twitter、Reddit 和 Tumblr 等平台上找到他。

Trellix 还发现了一个名为“deathinews”的 Telegram 群组，表明这些在线渠道可能会在未来被用来推广 Skuld 作为其他威胁参与者的服务。

为了逃避分析，恶意软件会检查它是否在虚拟环境中运行。它还会终止与预定义阻止列表匹配的进程，而不是终止自身。

Skuld 的能力

除了收集系统元数据外，Skuld 还能够从各种 Windows 用户配置文件文件夹中收集 cookie、凭据和文件，包括桌面、文档、下载、图片、音乐、视频和 OneDrive。

Trellix 的分析表明，Skuld 旨在篡改与 Better Discord 和 Discord Token Protector 相关的合法文件。据趋势科技报道，它将 JavaScript 代码注入 Discord 应用程序以提取备份代码，类似于在另一个基于 Rust 的信息窃取器中观察到的技术。

某些版本的 Skuld 还包含一个剪辑器模块，可以更改剪贴板内容，允许通过替换钱包地址来窃取加密货币资产。 Trellix 推测此功能仍在开发中。

使用参与者控制的 Discord webhook 或 Gofile 上传服务来窃取被盗数据。在后者的情况下，包含被盗数据的已上传 ZIP 文件的参考 URL 通过相同的 Discord webhook 功能发送给攻击者。

这一发展突显了威胁行为者越来越多地采用 Go 编程语言。 Go 的简单性、效率和跨平台兼容性使其成为针对多个操作系统和扩大潜在受害者池的有吸引力的选择。