Новый инфостилер «Skuld» на базе языка Go массово атакует Windows-устройства

Исследователи из компании Trellix обнаружили новый вид похитителя данных под названием «Skuld». Вредонос написан на языке программирования Go (Golang), который заражает компьютеры на Windows в Европе, Юго-Восточной Азии и США.

«Этот новый вид вредоносного ПО пытается украсть конфиденциальную информацию своих жертв. Для этого он ищет данные, хранящиеся пользовательских приложениях, таких как Discord , а также веб-браузерах; информацию о системе и файлы, хранящиеся в папках пользователя», — сказал Эрнесто Фернандес Превечо, исследователь из компании Trellix.

Skuld имеет сходство с такими инфостилерами, как Creal Stealer, Luna Grabber и BlackCap Grabber. Его создателем является разработчик, который использует онлайн-псевдоним «Deathined» на различных социальных платформах, таких как GitHub , Twitter *, Reddit и Tumblr .

Trellix также обнаружила отдельный Telegram -канал, который хакер использует для продвижения своих продуктов по модели MaaS .

После запуска вредонос проверяет, не работает ли он в виртуальной среде, чтобы избежать анализа. Если всё нормально, он просматривает список запущенных процессов и завершает те, которые могут препятствовать его работе.

Помимо сбора данных о системе, вирус обладает возможностью похищать cookie и учётные данные, хранящиеся в веб-браузерах, а также файлы, находящиеся в папках профиля пользователя Windows, включая Рабочий стол, Документы, Загрузки, Изображения, Музыка, Видео и OneDrive.

Экземпляр Skuld, проанализированный Trellix, показывает, что он спроектирован таким образом, чтобы повреждать законные файлы, связанные с Better Discord , Discord Token Protector , а затем беспрепятственно внедрять зловредный JavaScript -код в Discord-клиент для похищения резервных кодов профиля.

Некоторые образцы Skuld также содержат модуль Clipper для изменения содержимого буфера обмена и кражи криптовалютных активов путем подмены адресов кошельков.

Финальная выгрузка данных осуществляется с помощью управляемого злоумышленником вебхука Discord или хостингового сервиса Gofile. В случае использования последнего ссылка на выгруженный ZIP-файл с похищенными данными отправляется злоумышленнику с помощью той же функциональности вебхука Discord.

Результаты исследования демонстрируют увеличение популярности языка программирования Go среди злоумышленников. В основном из-за его простоты, эффективности и кроссплатформенной совместимости, что делает его привлекательным средством для атаки сразу нескольких операционных систем.

«Кроме того, компилируемый характер Go позволяет авторам вредоносного ПО создавать двоичные исполняемые файлы, которые более сложно анализировать и декомпилировать. Это затрудняет обнаружение и устранение этих угроз для специалистов по безопасности и традиционных антивирусных решений», — отметили в Trellix.

* Социальная сеть запрещена на территории Российской Федерации.