Skuld恶意软件以与未来和命运相关的北欧女神命名，采用复杂的技术渗透Windows系统并获得对敏感信息的未授权访问。网络安全研究人员注意到威胁参与者在开发恶意软件时使用Go编程语言的情况有所增加。Skuld infostealer是Trellix发现的最新版本，它证实了这一事实。

根据Trellix高级研究中心的Ernesto Fernández Provecho的一份报告，一种名为Skuld的新型信息窃取恶意软件正在全球范围内针对基于Windows的系统。它能够从网络浏览器和Discord帐户中窃取敏感数据。

执行后，Skuld立即从Discord帐户或网络浏览器中查找数据，主要是搜索存储在文件夹中的文件。它特别定位财务数据，因为Trellix检查的一些样本包含一个能够窃取加密货币钱包数据的进化模块。

此外，Skuld通过三种不同的技术检查它是否在虚拟设置中运行。
1. 首先检查系统的屏幕分辨率。如果不高于200×200像素，则认为系统运行在虚拟环境中。
2. 其次 - 它检查总RAM，应该超过2,000,000,000字节或1.86 GB。
3. 第三 - 它检查与系统的视频和磁盘信息链接的各种注册表项，如果其中任何一个包含有关Virtual Box或VMware的信息，应用程序将终止

如果Windows设备得到确认，它会提取几个正在运行的进程，与预定义的黑名单进行比较以进行匹配。该列表包括用户名、PC名称、HWID和公共IP地址。

如果找到匹配项，恶意软件将终止匹配的进程，而不是结束自身。它通过演员控制的Discord webhook泄露数据。它还可能使用Gofile上传服务通过参考链接窃取上传的ZIP文件。被盗数据通过同一个Discord webhook发送给攻击者。

进一步调查显示，其开发者Deathined基于开源恶意软件样本/项目（如BlackCap Grabber、Creal Stealer和Luna Grabber）构建了此信息窃取器，并在Golang 1.20.3上构建。作者使用多个库来完成众多支持任务。

研究人员指出，恶意软件开发者在GitHub、Twitter、Tumblr、Reddit和其他社交媒体平台上创建了帐户，据称是为了推广Skuld。Trellix研究人员还发现了一个名为Deathinews的电报组，作者可能会在该组中将Skuld出售给其他网络犯罪分子。

Skuld信息窃取程序可以收集系统元数据、从Web浏览器获取cookie和凭据，并在Windows PC的用户配置文件文件夹中查找文件，例如桌面、文档、OneDrive、音乐、视频和图片。

此外，它可以破坏来自Discord Token Protector和Better Discord的真实文件，并将JavaScript代码注入Discord应用程序以窃取备份代码。在Skuld样本中还发现了一个clipper模块，它可以修改剪贴板内容。此外，它可以与攻击者交换钱包地址以窃取加密货币。