Вредонос способен целенаправленно похищать Discord-токены жертв, а кастомные модификации клиента бессильны.
Исследователи из компании Trellix обнаружили новый вид похитителя данных под названием «Skuld». Вредонос написан на языке программирования Go (Golang), который заражает компьютеры на Windows в Европе, Юго-Восточной Азии и США.
«Этот новый вид вредоносного ПО пытается украсть конфиденциальную информацию своих жертв. Для этого он ищет данные, хранящиеся пользовательских приложениях, таких как Discord, а также веб-браузерах; информацию о системе и файлы, хранящиеся в папках пользователя», — сказал Эрнесто Фернандес Превечо, исследователь из компании Trellix.
Skuld имеет сходство с такими инфостилерами, как Creal Stealer, Luna Grabber и BlackCap Grabber. Его создателем является разработчик, который использует онлайн-псевдоним «Deathined» на различных социальных платформах, таких как GitHub, Twitter *, Reddit и Tumblr.
Trellix также обнаружила отдельный Telegram-канал, который хакер использует для продвижения своих продуктов по модели MaaS.
После запуска вредонос проверяет, не работает ли он в виртуальной среде, чтобы избежать анализа. Если всё нормально, он просматривает список запущенных процессов и завершает те, которые могут препятствовать его работе.
Помимо сбора данных о системе, вирус обладает возможностью похищать cookie и учётные данные, хранящиеся в веб-браузерах, а также файлы, находящиеся в папках профиля пользователя Windows, включая Рабочий стол, Документы, Загрузки, Изображения, Музыка, Видео и OneDrive.
Экземпляр Skuld, проанализированный Trellix, показывает, что он спроектирован таким образом, чтобы повреждать законные файлы, связанные с Better Discord, Discord Token Protector, а затем беспрепятственно внедрять зловредный JavaScript-код в Discord-клиент для похищения резервных кодов профиля.
Некоторые образцы Skuld также содержат модуль Clipper для изменения содержимого буфера обмена и кражи криптовалютных активов путем подмены адресов кошельков.
Финальная выгрузка данных осуществляется с помощью управляемого злоумышленником вебхука Discord или хостингового сервиса Gofile. В случае использования последнего ссылка на выгруженный ZIP-файл с похищенными данными отправляется злоумышленнику с помощью той же функциональности вебхука Discord.
Результаты исследования демонстрируют увеличение популярности языка программирования Go среди злоумышленников. В основном из-за его простоты, эффективности и кроссплатформенной совместимости, что делает его привлекательным средством для атаки сразу нескольких операционных систем.
«Кроме того, компилируемый характер Go позволяет авторам вредоносного ПО создавать двоичные исполняемые файлы, которые более сложно анализировать и декомпилировать. Это затрудняет обнаружение и устранение этих угроз для специалистов по безопасности и традиционных антивирусных решений», — отметили в Trellix.
* Социальная сеть запрещена на территории Российской Федерации.
Гравитация научных фактов сильнее, чем вы думаете