Ένα νέο κακόβουλο λογισμικό που βασίζεται στην Golang και κλέβει πληροφορίες, το Skuld, έχει προσβάλει συστήματα Windows σε όλη την Ευρώπη, τη Νοτιοανατολική Ασία και τις Ηνωμένες Πολιτείες.
“Αυτό το νέο στέλεχος κακόβουλου λογισμικού προσπαθεί να κλέψει ευαίσθητες πληροφορίες από τα θύματά του”, δήλωσε ο ερευνητής της Trellix, Ernesto Fernández Provecho, σε μια ανάλυση της Τρίτης. “Για να το πετύχει αυτό, αναζητά δεδομένα που είναι αποθηκευμένα σε εφαρμογές όπως το Discord και τα προγράμματα περιήγησης στο διαδίκτυο- καθώς και πληροφορίες από το σύστημα και αρχεία που είναι αποθηκευμένα στους φακέλους του θύματος”.
Το Skuld, το οποίο μοιράζεται overlaps με δημόσια διαθέσιμους stealers όπως οι Creal Stealer, Luna Grabber και BlackCap Grabber, είναι το έργο ενός προγραμματιστή που χρησιμοποιεί το διαδικτυακό ψευδώνυμο Deathined σε διάφορες πλατφόρμες κοινωνικών μέσων όπως το GitHub, το Twitter, το Reddit και το Tumblr.
Η Trellix εντόπισε και μια ομάδα στο Telegram με το όνομα “Deathinews”, υποδεικνύοντας ότι αυτές οι διαδικτυακές οδοί θα μπορούσαν να χρησιμοποιηθούν στο μέλλον για την προώθηση της προσφοράς ως υπηρεσίας για άλλους απειλητικούς φορείς.
Κατά την εκτέλεσή του, το κακόβουλο λογισμικό ελέγχει αν εκτελείται σε εικονικό περιβάλλον, σε μια προσπάθεια να αποτρέψει την ανάλυση. Επιπλέον, εξάγει έναν κατάλογο εκτελούμενων διεργασιών και τον συγκρίνει με μια προκαθορισμένη λίστα αποκλεισμού.
Σε περίπτωση που κάποια διεργασία ταιριάζει με αυτές που υπάρχουν στη λίστα αποκλεισμού, το Skuld θα προχωρήσει στον τερματισμό της αντίστοιχης διεργασίας αντί να τερματίσει τον εαυτό του.
Εκτός από τη συλλογή μεταδεδομένων του συστήματος, το κακόβουλο λογισμικό διαθέτει δυνατότητες συλλογής cookie και διαπιστευτηρίων που είναι αποθηκευμένα σε προγράμματα περιήγησης ιστού καθώς και αρχεία που υπάρχουν στους φακέλους προφίλ χρήστη των Windows, όπως Desktop, Documents, Downloads, Pictures, Music, Videos και OneDrive.
Τα τεχνουργήματα που αναλύθηκαν από την Trellix δείχνουν ότι έχει σχεδιαστεί για να καταστρέφει νόμιμα αρχεία που σχετίζονται με το Better Discord και το Discord Token Protector και να εισάγει κώδικα JavaScript στην εφαρμογή Discord προκειμένου να αποσπάσει κωδικούς αντιγράφων ασφαλείας. Αυτό αντικατοπτρίζει μια τεχνική παρόμοια με εκείνη ενός άλλου infostealer που βασίζεται στην Rust και καταγράφηκε πρόσφατα από την Trend Micro.
Τα δείγματα του Skuld φέρονται να ενσωματώνουν ένα clipper module για την τροποποίηση του περιεχομένου του πρόχειρου και την κλοπή περιουσιακών στοιχείων κρυπτονομισμάτων με την ανταλλαγή των διευθύνσεων του πορτοφολιού, η οποία, σύμφωνα με τη θεωρία της εταιρείας κυβερνοασφάλειας, είναι πιθανό να βρίσκεται σε εξέλιξη.
- Η διαρροή δεδομένων επιτυγχάνεται μέσω ενός ελεγχόμενου από τον δράστη discord webhook ή της υπηρεσίας μεταφόρτωσης GoFile. Στην περίπτωση του τελευταίου, μια διεύθυνση URL αναφοράς για την κλοπή του μεταφορτωμένου αρχείου ZIP που περιέχει τα κλεμμένα δεδομένα αποστέλλεται στον εισβολέα χρησιμοποιώντας την ίδια λειτουργία του Discord webhook.
Η ανάπτυξη δείχνει μια σταθερή υιοθέτηση της γλώσσας προγραμματισμού Go μεταξύ των φορέων απειλών, λόγω της “απλότητας, της αποτελεσματικότητας και της συμβατότητας μεταξύ διαφορετικών πλατφορμών”, που την καθιστούν ελκυστικό μέσο για να στοχεύσουν πολλαπλά λειτουργικά συστήματα και να διευρύνουν τη δεξαμενή των θυμάτων τους.