En Golang-baseret infostealer ved navn Skuld er for nylig blevet identificeret, som påvirker Windows-systemer i Europa, Sydøstasien og USA.
I en detaljeret analyse udført af Trellix-forsker Ernesto Fernández Provecho blev det afsløret, at denne nye stamme af malware sigter mod at stjæle følsom information fra sine ofre. For at nå sit mål målretter Skuld sig specifikt mod data, der er gemt i applikationer som Discord og webbrowsere, samt information fra selve systemet og filer, der er gemt i ofrets mapper.
Skuld udviser ligheder med andre offentligt tilgængelige info-stjælere såsom Creal Stealer, Luna Grabber og BlackCap Grabber. Malwaren er skabelsen af en udvikler, der opererer under online-aliaset Deathined og er aktiv på sociale medieplatforme som GitHub, Twitter, Reddit og Tumblr. Ydermere har Trellix-forskere opdaget en Telegram-gruppe ved navn deathinews, hvilket tyder på, at disse online platforme kan blive brugt til at promovere Skuld som en service for andre trusselsaktører i fremtiden.
Ved udførelse udfører Skuld forskellige kontroller for at undgå analyser. Den afgør først, om den kører i et virtuelt miljø, med det formål at forhindre forskere i at studere dens adfærd. Derudover udtrækker malwaren listen over kørende processer og sammenligner den med en foruddefineret blokeringsliste. Hvis en proces matcher posterne i blokeringslisten, afslutter Skuld den tilsvarende proces i stedet for at afslutte sig selv.
Hvad er det unikke ved Skuld?
Udover at indsamle systemmetadata besidder Skuld evnen til at høste cookies og legitimationsoplysninger, der er gemt i webbrowsere, samt filer, der findes i Windows-brugerprofilmapperne, som inkluderer Desktop, Dokumenter, Downloads, Billeder, Musik, Videoer og OneDrive.
Analyse udført af Trellix har også afsløret, at Skuld er designet til at korrupte legitime filer forbundet med Better Discord og Discord Token Protector. Det injicerer JavaScript-kode i Discord-applikationen for at stjæle backup-koder ved at bruge en teknik, der ligner den, der anvendes af en anden infostealer baseret på Rust, som for nylig blev dokumenteret af Trend Micro.
Nogle forekomster af Skuld inkluderer et klippemodul, hvilket tyder på løbende udvikling. Dette modul ændrer udklipsholderens indhold og muliggør tyveri af cryptocurrency-aktiver ved at erstatte tegnebogsadresser.
Skuld eksfiltrerer stjålne data ved hjælp af enten en skuespillerstyret Discord-webhook eller Gofile-uploadtjenesten. I sidstnævnte tilfælde sendes en reference-URL, der gør det muligt for angriberen at hente den uploadede ZIP-fil, der indeholder de stjålne data, via Discord-webhook-funktionen.
Skuld malwaren viser at den stigende brug af programmeringssproget Golang blandt trusselsaktører. Dens enkelhed, effektivitet og kompatibilitet på tværs af platforme gør det til et attraktivt valg til at målrette mod flere operativsystemer og udvide den potentielle ofrepulje.
Desuden gør Golangs kompilerede karakter det muligt for malware-forfattere at skabe binære eksekverbare filer, der er svære at analysere og reverse engineering, hvilket udgør udfordringer for sikkerhedsforskere og traditionelle anti-malware-løsninger med at opdage og afbøde disse trusler effektivt.
Comments