Logiciel malveillant Skuld

Un nouveau logiciel malveillant de collecte d'informations appelé Skuld, écrit dans le langage de programmation Go, a réussi à compromettre les systèmes Windows en Europe, en Asie du Sud-Est et aux États-Unis.

Skuld est spécialement conçu pour dérober des informations sensibles à ses victimes. Pour ce faire, il utilise diverses techniques, notamment la recherche de données dans des applications telles que Discord et les navigateurs Web, ainsi que l'extraction d'informations du système lui-même et des fichiers stockés dans les dossiers de la victime.

Fait intéressant, Skuld présente des similitudes avec d'autres collecteurs d'informations accessibles au public, tels que le Creal Stealer, le Luna Grabber et le BlackCap Grabber. Ces caractéristiques qui se chevauchent suggèrent des connexions potentielles ou du code partagé entre ces souches de logiciels malveillants. On pense que Skuld est la création d'un développeur qui opère sous le pseudonyme en ligne Deathined.

Le logiciel malveillant Skuld peut mettre fin à des processus prédéterminés sur le système piraté

Lors de son exécution, le logiciel malveillant Skuld utilise plusieurs techniques d'évasion pour empêcher l'analyse, notamment en vérifiant s'il s'exécute dans un environnement virtuel. Ceci est fait pour entraver les efforts des chercheurs pour comprendre son comportement et sa fonctionnalité. De plus, Skuld extrait une liste des processus en cours d'exécution sur le système infecté et la compare à une liste de blocage prédéfinie. Si un processus correspond à ceux présents dans la liste de blocage, au lieu de se terminer, Skuld procède à la fin du processus correspondant, visant potentiellement à neutraliser les mesures de sécurité ou à entraver la détection.

En plus de collecter les métadonnées du système, Skuld possède la capacité de collecter des informations précieuses, telles que les cookies et les informations d'identification stockées dans les navigateurs Web. Il cible également des fichiers spécifiques situés dans les dossiers de profil utilisateur Windows, notamment Bureau, Documents, Téléchargements, Images, Musique, Vidéos et OneDrive. En ciblant ces dossiers, Skuld vise à accéder et potentiellement exfiltrer les données sensibles des utilisateurs, y compris les fichiers personnels et les documents fondamentaux.

L'analyse des artefacts du logiciel malveillant a révélé son intention délibérée de corrompre les fichiers légitimes associés à Better Discord et Discord Token Protector. Cette activité menaçante suggère une tentative de perturber le fonctionnement de logiciels légitimes utilisés par les utilisateurs de Discord. De plus, Skuld utilise une technique similaire à un autre infostealer basé sur le langage de programmation Rust, où il injecte du code JavaScript dans l'application Discord pour extraire les codes de sauvegarde. Cette technique souligne la nature sophistiquée des capacités de collecte d'informations de Skuld et son intention de compromettre les comptes des utilisateurs et d'accéder à des informations confidentielles supplémentaires.

Le logiciel malveillant Skuld peut exécuter des activités menaçantes supplémentaires

Certains échantillons du logiciel malveillant Skuld ont démontré l'inclusion d'un module clipper, conçu pour manipuler le contenu du presse-papiers. Ce module permet à Skuld de se livrer au vol de crypto-monnaie en remplaçant les adresses de portefeuille de crypto-monnaie par celles contrôlées par les attaquants. Il est possible que le module clipper soit probablement encore en cours de développement, ce qui indique de futures améliorations potentielles des capacités de Skuld à voler des actifs de crypto-monnaie.

L'exfiltration des données collectées est réalisée par deux méthodes principales. Premièrement, le logiciel malveillant exploite un webhook Discord contrôlé par un acteur, permettant aux attaquants de transmettre les informations volées à leur infrastructure. Alternativement, Skuld utilise le service de téléchargement Gofile, téléchargeant les données collectées sous forme de fichier ZIP. Dans ce cas, une URL de référence pour accéder au fichier ZIP téléchargé contenant les données exfiltrées est envoyée à l'attaquant en utilisant la même fonctionnalité de webhook Discord.

La présence de Skuld et de ses fonctionnalités évolutives montre une tendance croissante parmi les acteurs de la menace à utiliser le langage de programmation Go. La simplicité, l'efficacité et la compatibilité multiplateforme de Go en ont fait un choix attrayant pour les attaquants. En tirant parti de Go, les acteurs de la menace peuvent cibler plusieurs systèmes d'exploitation et élargir leur bassin de victimes potentielles, soulignant la nécessité de mesures de sécurité robustes sur diverses plates-formes.