Un nuevo ladrón de información basado en Golang llamado Skuld ha comprometido los sistemas de Windows en Europa, el sudeste asiático y los EE. UU.
«Esta nueva variedad de malware intenta robar información confidencial de sus víctimas», dijo el investigador de Trellix, Ernesto Fernández Provecho , en un análisis realizado el martes. «Para realizar esta tarea, busca datos almacenados en aplicaciones como Discord y navegadores web; información del sistema y archivos almacenados en las carpetas de la víctima».
Skuld, que comparte superposiciones con ladrones disponibles públicamente como Creal Stealer , Luna Grabber y BlackCap Grabber , es obra de un desarrollador que usa el alias en línea Deathined en varias plataformas de redes sociales como GitHub, Twitter, Reddit y Tumblr.
Trellix también detectó un grupo de Telegram llamado deathinews, lo que indica que estas vías en línea podrían usarse para promover la oferta en el futuro como un servicio para otros actores de amenazas.
El malware, al ejecutarse, verifica si se está ejecutando en un entorno virtual en un intento de frustrar el análisis. Además, extrae la lista de procesos en ejecución y la compara con una lista de bloqueo predefinida. Si algún proceso coincide con los presentes en la lista de bloqueo, Skuld procede a terminar el proceso coincidente en lugar de terminarse a sí mismo.
Además de recopilar metadatos del sistema, el malware posee capacidades para recopilar cookies y credenciales almacenadas en navegadores web, así como archivos presentes en las carpetas de perfil de usuario de Windows, incluidos Escritorio, Documentos, Descargas, Imágenes, Música, Videos y OneDrive.
Los artefactos analizados por Trellix muestran que está diseñado para corromper archivos legítimos asociados con Better Discord y Discord Token Protector e inyectar código JavaScript en la aplicación Discord para desviar códigos de respaldo, reflejando una técnica similar a la de otro ladrón de información basado en Rust documentado recientemente por Trend Micro.
Las muestras seleccionadas de Skuld también incorporan un módulo clipper para alterar el contenido del portapapeles y robar activos de criptomonedas intercambiando las direcciones de la billetera, que la compañía de seguridad cibernética teorizó que probablemente esté en desarrollo.
La exfiltración de datos se logra mediante un webhook de Discord controlado por el actor o el servicio de carga de Gofile. En el caso de este último, se envía al atacante una URL de referencia para robar el archivo ZIP cargado que contiene los datos robados utilizando la misma funcionalidad de webhook de Discord.
El desarrollo apunta a la adopción constante del lenguaje de programación Go entre los actores de amenazas debido a su «simplicidad, eficiencia y compatibilidad entre plataformas», lo que lo convierte en un vehículo atractivo para apuntar a múltiples sistemas operativos y expandir su grupo de víctimas.
“Además, la naturaleza compilada de Golang permite a los autores de malware producir ejecutables binarios que son más difíciles de analizar y aplicar ingeniería inversa”, señaló Fernández Provecho. «Esto dificulta que los investigadores de seguridad y las soluciones antimalware tradicionales detecten y mitiguen estas amenazas de manera efectiva».
Fuente y redacción: thehackernews.com
