Skuld-Malware

Eine neue Malware zum Sammeln von Informationen namens Skuld, geschrieben in der Programmiersprache Go, hat erfolgreich Windows-Systeme in Europa, Südostasien und den USA kompromittiert

Skuld ist speziell darauf ausgelegt, sensible Informationen von seinen Opfern zu stehlen. Um dies zu erreichen, werden verschiedene Techniken eingesetzt, darunter die Suche nach Daten in Anwendungen wie Discord und Webbrowsern sowie das Extrahieren von Informationen aus dem System selbst und den in den Ordnern des Opfers gespeicherten Dateien.

Interessanterweise weist Skuld Ähnlichkeiten mit anderen öffentlich zugänglichen Informationssammlern auf, wie dem Creal Stealer, dem Luna Grabber und dem BlackCap Grabber. Diese überlappenden Merkmale deuten auf mögliche Verbindungen oder gemeinsamen Code zwischen diesen Malware-Stämmen hin. Es wird angenommen, dass Skuld die Schöpfung eines Entwicklers ist, der unter dem Online-Pseudonym Deathined agiert.

Die Skuld-Malware kann vorher festgelegte Prozesse auf dem angegriffenen System beenden

Bei der Ausführung setzt die Skuld-Malware mehrere Umgehungstechniken ein, um die Analyse zu erschweren, einschließlich der Überprüfung, ob sie in einer virtuellen Umgebung ausgeführt wird. Dies geschieht, um die Bemühungen der Forscher zu behindern, sein Verhalten und seine Funktionalität zu verstehen. Darüber hinaus extrahiert Skuld eine Liste aktuell laufender Prozesse auf dem infizierten System und vergleicht sie mit einer vordefinierten Blockliste. Wenn ein Prozess mit den in der Sperrliste vorhandenen Prozessen übereinstimmt, beendet sich Skuld nicht selbst, sondern beendet den übereinstimmenden Prozess, möglicherweise mit dem Ziel, Sicherheitsmaßnahmen zu neutralisieren oder die Erkennung zu verhindern.

Neben der Erfassung von Systemmetadaten verfügt Skuld über die Fähigkeit, wertvolle Informationen wie in Webbrowsern gespeicherte Cookies und Anmeldeinformationen zu sammeln. Es zielt auch auf bestimmte Dateien ab, die sich in den Windows-Benutzerprofilordnern befinden, darunter Desktop, Dokumente, Downloads, Bilder, Musik, Videos und OneDrive. Indem Skuld diese Ordner ins Visier nimmt, zielt er darauf ab, auf vertrauliche Benutzerdaten, einschließlich persönlicher Dateien und grundlegender Dokumente, zuzugreifen und diese möglicherweise zu exfiltrieren.

Die Analyse der Artefakte der Malware hat ergeben, dass die Malware bewusst darauf abzielt, legitime Dateien zu beschädigen, die mit Better Discord und Discord Token Protector in Verbindung stehen. Diese bedrohliche Aktivität deutet auf einen Versuch hin, die Funktion legitimer Software zu stören, die von Discord-Benutzern verwendet wird. Darüber hinaus verwendet Skuld eine Technik, die einem anderen Infostealer ähnelt, der auf der Programmiersprache Rust basiert und dabei JavaScript-Code in die Discord-Anwendung einfügt, um Backup-Codes zu extrahieren. Diese Technik unterstreicht die ausgefeilten Fähigkeiten von Skuld zur Informationsbeschaffung und seine Absicht, Benutzerkonten zu kompromittieren und auf zusätzliche vertrauliche Informationen zuzugreifen.

Die Skuld-Malware kann zusätzliche bedrohliche Aktivitäten ausführen

Bestimmte Beispiele der Skuld-Malware haben gezeigt, dass sie ein Clipper-Modul enthalten, das den Inhalt der Zwischenablage manipulieren soll. Dieses Modul ermöglicht es Skuld, sich am Kryptowährungsdiebstahl zu beteiligen, indem es Kryptowährungs-Wallet-Adressen durch diejenigen ersetzt, die von den Angreifern kontrolliert werden. Es ist möglich, dass sich das Clipper-Modul noch in der Entwicklung befindet, was auf mögliche zukünftige Verbesserungen von Skulds Fähigkeiten beim Diebstahl von Kryptowährungsbeständen hindeutet.

Die Exfiltration der gesammelten Daten wird durch zwei primäre Methoden erreicht. Erstens nutzt die Malware einen von Akteuren kontrollierten Discord-Webhook, der es den Angreifern ermöglicht, die gestohlenen Informationen an ihre Infrastruktur zu übertragen. Alternativ nutzt Skuld den Gofile-Upload-Dienst und lädt die gesammelten Daten als ZIP-Datei hoch. In diesem Fall wird mithilfe derselben Discord-Webhook-Funktionalität eine Referenz-URL für den Zugriff auf die hochgeladene ZIP-Datei mit den exfiltrierten Daten an den Angreifer gesendet.

Die Präsenz von Skuld und seine sich weiterentwickelnden Funktionen verdeutlichen den wachsenden Trend unter Bedrohungsakteuren, die Programmiersprache Go zu nutzen. Die Einfachheit, Effizienz und plattformübergreifende Kompatibilität von Go haben es zu einer attraktiven Wahl für Angreifer gemacht. Durch die Nutzung von Go können Bedrohungsakteure mehrere Betriebssysteme ins Visier nehmen und ihren potenziellen Opferpool erweitern, was die Notwendigkeit robuster Sicherheitsmaßnahmen auf verschiedenen Plattformen unterstreicht.