Windows用户需要注意:Skuld恶意软件窃取Discord和浏览器数据

Skuld恶意软件以与未来和命运相关的北欧女神命名,采用复杂的技术渗透Windows系统并获得对敏感信息的未授权访问。网络安全研究人员注意到威胁参与者在开发恶意软件时使用Go编程语言的情况有所增加。Skuld infostealer是Trellix发现的最新版本,它证实了这一事实。

根据Trellix高级研究中心的Ernesto Fernández Provecho的一份报告,一种名为Skuld的新型信息窃取恶意软件正在全球范围内针对基于Windows的系统。它能够从网络浏览器和Discord帐户中窃取敏感数据。

执行后,Skuld立即从Discord帐户或网络浏览器中查找数据,主要是搜索存储在文件夹中的文件。它特别定位财务数据,因为Trellix检查的一些样本包含一个能够窃取加密货币钱包数据的进化模块。

此外,Skuld通过三种不同的技术检查它是否在虚拟设置中运行。
1. 首先检查系统的屏幕分辨率。如果不高于200×200像素,则认为系统运行在虚拟环境中。
2. 其次 - 它检查总RAM,应该超过2,000,000,000字节或1.86 GB。
3. 第三 - 它检查与系统的视频和磁盘信息链接的各种注册表项,如果其中任何一个包含有关Virtual Box或VMware的信息,应用程序将终止

如果Windows设备得到确认,它会提取几个正在运行的进程,与预定义的黑名单进行比较以进行匹配。该列表包括用户名、PC名称、HWID和公共IP地址。

如果找到匹配项,恶意软件将终止匹配的进程,而不是结束自身。它通过演员控制的Discord webhook泄露数据。它还可能使用Gofile上传服务通过参考链接窃取上传的ZIP文件。被盗数据通过同一个Discord webhook发送给攻击者。

进一步调查显示,其开发者Deathined基于开源恶意软件样本/项目(如BlackCap Grabber、Creal Stealer和Luna Grabber)构建了此信息窃取器,并在Golang 1.20.3上构建。作者使用多个库来完成众多支持任务。

研究人员指出,恶意软件开发者在GitHub、Twitter、Tumblr、Reddit和其他社交媒体平台上创建了帐户,据称是为了推广Skuld。Trellix研究人员还发现了一个名为Deathinews的电报组,作者可能会在该组中将Skuld出售给其他网络犯罪分子。

Skuld信息窃取程序可以收集系统元数据、从Web浏览器获取cookie和凭据,并在Windows PC的用户配置文件文件夹中查找文件,例如桌面、文档、OneDrive、音乐、视频和图片。

此外,它可以破坏来自Discord Token Protector和Better Discord的真实文件,并将JavaScript代码注入Discord应用程序以窃取备份代码。在Skuld样本中还发现了一个clipper模块,它可以修改剪贴板内容。此外,它可以与攻击者交换钱包地址以窃取加密货币。

发表评论

评论已关闭。

相关文章

newsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnews