Skuld Infostealer 惡意軟件用於攻擊世界各地的目標

Skuld 是一種新發現的用 Golang 編寫的信息竊取程序，已成功入侵歐洲、東南亞和美國的 Windows 系統。

根據 Trellix 研究人員 Ernesto Fernández Provecho 的分析，這種新的惡意軟件的主要目標是竊取受害者的敏感數據。它通過搜索存儲在 Discord 和網絡瀏覽器等應用程序中的有價值信息，以及受害者文件夾中的系統數據和文件來實現這一點。

Skuld 與其他已知的竊取器有相似之處，例如 Creal Stealer、Luna Grabber 和 BlackCap Grabber。它的創建者在 GitHub、Twitter、Reddit 和 Tumblr 等平台上被稱為 Deathined，他似乎正在通過一個名為 deathinews 的電報群積極推廣這種惡意軟件。

為了阻止分析工作，Skuld 在執行時檢查它是否在虛擬環境中運行。然後它會編譯一個正在運行的進程列表，並將其與預定義的阻止列表進行比較。如果任何進程與黑名單中的進程相匹配，Skuld 將終止匹配的進程而不是自行終止。

Skuld 的完整功能列表

除了收集系統元數據外，Skuld 還能夠從各種 Windows 用戶配置文件文件夾中收集 cookie、憑據和文件，包括桌面、文檔、下載、圖片、音樂、視頻和 OneDrive。

Trellix 對該惡意軟件的調查顯示，Skuld 旨在篡改與 Better Discord 和 Discord Token Protector 相關的合法文件。通過將 JavaScript 代碼注入 Discord 應用程序，它可以提取備份代碼，採用的技術讓人聯想到最近由趨勢科技分析的基於 Rust 的信息竊取程序。

Skuld 的某些樣本還包括一個 clipper 模塊，它可以修改剪貼板內容並通過替換錢包地址來促進加密貨幣資產的盜竊。 Trellix 推測該模塊仍在開發中。

Skuld 竊取的數據是通過攻擊者控制的 Discord webhook 或 Gofile 上傳服務洩露的。在後者的情況下，攻擊者會收到一個包含 ZIP 文件中被盜數據的參考 URL，該文件是通過相同的 Discord webhook 功能發送的。

這一發展展示了 Go 編程語言在威脅參與者中越來越受歡迎。它的簡單性、效率和跨平台兼容性使其成為針對多個操作系統和擴大潛在受害者群體的有吸引力的選擇。

Fernández Provecho 進一步強調，Golang 的編譯特性使安全研究人員和傳統的反惡意軟件解決方案難以有效檢測和緩解這些威脅，因為惡意軟件作者可以生成難以分析和逆向工程的二進制可執行文件。