Skuld 惡意軟件從 PC 獲取 Discord 和瀏覽器數據

Skuld 是一種最近發現的用 Golang 編寫的信息竊取惡意軟件，已成功入侵歐洲、東南亞和美國的 Windows 系統

根據 Trellix 研究員 Ernesto Fernández Provecho 的說法，Skuld 旨在竊取受害者的敏感數據。它會搜索存儲在 Discord 和網絡瀏覽器等應用程序中的有價值信息，以及受害者文件夾中的系統數據和文件。

Skuld 與其他公開可用的竊取器有相似之處，例如 Creal Stealer、Luna Grabber 和 BlackCap Grabber。它被認為是一個在網上被稱為 Deathined 的開發人員的創建，可以在 GitHub、Twitter、Reddit 和 Tumblr 等平台上找到他。

Trellix 還發現了一個名為“deathinews”的 Telegram 群組，表明這些在線渠道可能會在未來被用來推廣 Skuld 作為其他威脅參與者的服務。

為了逃避分析，惡意軟件會檢查它是否在虛擬環境中運行。它還會終止與預定義阻止列表匹配的進程，而不是終止自身。

Skuld 的能力

除了收集系統元數據外，Skuld 還能夠從各種 Windows 用戶配置文件文件夾（包括桌面、文檔、下載、圖片、音樂、視頻和 OneDrive）收集 cookie、憑據和文件。

Trellix 的分析表明，Skuld 旨在篡改與 Better Discord 和 Discord Token Protector 相關的合法文件。據趨勢科技報導，它將 JavaScript 代碼注入 Discord 應用程序以提取備份代碼，類似於在另一個基於 Rust 的信息竊取器中觀察到的技術。

某些版本的 Skuld 還包含一個剪輯器模塊，可以更改剪貼板內容，允許通過替換錢包地址來竊取加密貨幣資產。 Trellix 推測此功能仍在開發中。

使用參與者控制的 Discord webhook 或 Gofile 上傳服務來竊取被盜數據。在後者的情況下，包含被盜數據的已上傳 ZIP 文件的參考 URL 通過相同的 Discord webhook 功能發送給攻擊者。

這一發展突顯了威脅行為者越來越多地採用 Go 編程語言。 Go 的簡單性、效率和跨平台兼容性使其成為針對多個操作系統和擴大潛在受害者池的有吸引力的選擇。