Software malicioso Skuld

Un nuevo malware de recopilación de información llamado Skuld, escrito en el lenguaje de programación Go, ha comprometido con éxito los sistemas de Windows en Europa, el sudeste asiático y los EE. UU.

Skuld está diseñado específicamente para robar información confidencial de sus víctimas. Para lograr esto, emplea varias técnicas, incluida la búsqueda de datos dentro de aplicaciones como Discord y navegadores web, así como la extracción de información del propio sistema y los archivos almacenados en las carpetas de la víctima.

Curiosamente, Skuld exhibe similitudes con otros recopiladores de información disponibles públicamente, como Creal Stealer, Luna Grabber y BlackCap Grabber. Estas características superpuestas sugieren conexiones potenciales o código compartido entre estas cepas de malware. Se cree que Skuld es la creación de un desarrollador que opera bajo el seudónimo en línea Deathined.

El malware Skuld puede terminar procesos predeterminados en el sistema violado

Tras la ejecución, el malware Skuld emplea varias técnicas de evasión para impedir el análisis, incluida la comprobación de si se está ejecutando en un entorno virtual. Esto se hace para obstaculizar los esfuerzos de los investigadores por comprender su comportamiento y funcionalidad. Además, Skuld extrae una lista de los procesos que se están ejecutando actualmente en el sistema infectado y la compara con una lista de bloqueo predefinida. Si algún proceso coincide con los presentes en la lista de bloqueo, en lugar de finalizarse, Skuld procede a finalizar el proceso coincidente, con el objetivo potencial de neutralizar las medidas de seguridad o dificultar la detección.

Además de recopilar metadatos del sistema, Skuld posee la capacidad de recopilar información valiosa, como cookies y credenciales almacenadas en navegadores web. También apunta a archivos específicos ubicados en las carpetas de perfil de usuario de Windows, incluidos Escritorio, Documentos, Descargas, Imágenes, Música, Videos y OneDrive. Al apuntar a estas carpetas, Skuld tiene como objetivo acceder y potencialmente filtrar datos confidenciales de los usuarios, incluidos archivos personales y documentos fundamentales.

El análisis de los artefactos del malware ha revelado su intención deliberada de corromper archivos legítimos asociados con Better Discord y Discord Token Protector. Esta actividad amenazante sugiere un intento de interrumpir el funcionamiento del software legítimo utilizado por los usuarios de Discord. Además, Skuld emplea una técnica similar a otro ladrón de información basado en el lenguaje de programación Rust, donde inyecta código JavaScript en la aplicación Discord para extraer códigos de respaldo. Esta técnica subraya la naturaleza sofisticada de las capacidades de recopilación de información de Skuld y su intención de comprometer las cuentas de los usuarios y acceder a información confidencial adicional.

El Malware Skuld puede Ejecutar Actividades Amenazantes Adicionales

Ciertas muestras del malware Skuld han demostrado la inclusión de un módulo clipper, que está diseñado para manipular el contenido del portapapeles. Este módulo le permite a Skuld participar en el robo de criptomonedas reemplazando las direcciones de las billeteras de criptomonedas con aquellas controladas por los atacantes. Es posible que el módulo Clipper aún esté en desarrollo, lo que indica posibles mejoras futuras a las capacidades de Skuld para robar activos de criptomonedas.

La exfiltración de los datos recopilados se logra a través de dos métodos principales. En primer lugar, el malware aprovecha un webhook de Discord controlado por un actor, lo que permite a los atacantes transmitir la información robada a su infraestructura. Alternativamente, Skuld utiliza el servicio de carga de Gofile, cargando los datos recopilados como un archivo ZIP. En este caso, se envía al atacante una URL de referencia para acceder al archivo ZIP cargado que contiene los datos extraídos utilizando la misma funcionalidad de webhook de Discord.

La presencia de Skuld y sus características en evolución muestra una tendencia creciente entre los actores de amenazas a utilizar el lenguaje de programación Go. La simplicidad, la eficiencia y la compatibilidad multiplataforma de Go lo han convertido en una opción atractiva para los atacantes. Al aprovechar Go, los actores de amenazas pueden apuntar a múltiples sistemas operativos y expandir su grupo de víctimas potenciales, lo que resalta la necesidad de medidas de seguridad sólidas en varias plataformas.