Adını gelecek ve kaderle ilişkilendirilen İskandinav tanrıçasından alan Skuld kötü amaçlı yazılımı, Windows sistemlerine sızmak ve hassas bilgilere yetkisiz erişim elde etmek için gelişmiş teknikler kullanır.
Siber güvenlik araştırmacıları, kötü amaçlı yazılım geliştirirken tehdit aktörleri tarafından Go programlama dilinin kullanımında bir artış fark ettiler. Skuld infostealer, Trellix tarafından keşfedilen ve bu gerçeği doğrulayan en son yinelemedir.
Trellix Gelişmiş Araştırma Merkezi’nden Ernesto Fernández Provecho tarafından hazırlanan bir rapora göre, Skuld adlı yeni bir bilgi çalma kötü amaçlı yazılımı dünya çapında Windows tabanlı sistemleri hedefliyor. Web tarayıcılarından ve Discord hesaplarından hassas verileri çalabilir.
Skuld Kötü Amaçlı Yazılım Analizi
Yürütmeden hemen sonra Skuld, Discord hesaplarından veya web tarayıcılarından, çoğunlukla klasörlerde depolanan dosyaları arayarak veri arar. Trellix’in incelediği bazı örnekler, kripto para cüzdanlarının verilerini çalabilen gelişen bir modül içerdiğinden, özellikle finansal verileri bulur.
Ayrıca Skuld, sanal bir kurulumda çalışıp çalışmadığını üç farklı teknikle kontrol eder.
- İlk önce sistemin ekran çözünürlüğünü kontrol edin. 200×200 pikselden büyük değilse sistemin sanal ortamda çalıştığını varsayar.
- İkincisi- 2.000.000.000 bayt/1,86 GB’ın üzerinde olması gereken toplam RAM’i kontrol eder.
- Üçüncüsü- Sistemin video ve disk bilgileriyle bağlantılı çeşitli kayıt defteri anahtarlarını kontrol eder ve bunlardan herhangi biri Virtual Box veya VMware hakkında bilgi içeriyorsa uygulama sonlandırılır.
Bir Windows cihazı onaylanırsa, eşleştirme için önceden tanımlanmış bir engelleme listesiyle karşılaştırılmak üzere birkaç çalışan işlemi ayıklar. Liste, Kullanıcı Adı, PC adı, HWID ve Genel IP adresinden oluşur.
Bir eşleşme bulunursa, kötü amaçlı yazılım kendisini sonlandırmak yerine eşleşen süreci sonlandırır. Aktör kontrollü bir Discord web kancası aracılığıyla verileri sızdırıyor. Yüklenen ZIP dosyasını bir referans bağlantısı aracılığıyla çalmak için Gofile yükleme hizmetini de kullanabilir. Çalınan veriler saldırgana aynı Discord web kancası aracılığıyla gönderilir.
Golang Tabanlı Skuld’da Farklı Kötü Amaçlı Yazılımların İzleri Var
Daha fazla araştırma, geliştiricisi Deathined’in bu bilgi hırsızını BlackCap Grabber, Creal Stealer ve Luna Grabber gibi açık kaynaklı kötü amaçlı yazılım örneklerine/projelerine dayandırdığını ve Golang 1.20.3 üzerine kurduğunu ortaya çıkardı. Yazar, sayısız destek görevi için birden çok kitaplık kullandı.
Araştırmacılar, kötü amaçlı yazılım geliştiricisinin sözde Skuld’un tanıtımı için GitHub, Twitter, Tumblr, Reddit ve diğer sosyal medya platformlarında hesaplar oluşturduğunu belirtti. Trellix araştırmacıları ayrıca, yazarın Skuld’u diğer siber suçlulara satışa sunabileceği Deathinews adlı bir Telegram grubu keşfetti.
Kafatası Yetenekleri
Skuld bilgi hırsızı, sistem meta verilerini toplayabilir, web tarayıcılarından çerezleri ve kimlik bilgilerini toplayabilir ve Windows PC’nin kullanıcı profili klasörlerinde, örneğin Masaüstü, Belgeler, OneDrive, Müzik, Videolar ve Resimler gibi dosyaları arar.
Ayrıca, Discord Token Protector ve Better Discord’daki orijinal dosyaları bozabilir ve yedek kodları çalmak için Discord uygulamasına JavaScript kodu enjekte edebilir. Skuld örneklerinde pano içeriğini değiştirebilen bir kesme modülü de bulundu. Ayrıca, kripto para birimini çalmak için cüzdan adreslerini saldırganlarla değiştirebilir.
İLGİLİ MAKALELER
- Kötü amaçlı yazılım bulaşmış tarayıcı uzantıları Chrome’u çalıyor
- Bandit Stealer, tarayıcı verilerini çalmak için Windows cihazlarına saldırır
- Bilgi Çalan Kötü Amaçlı Yazılım Sağlayan Telegram ve Discord Botları
- PureCrypter Kötü Amaçlı Yazılımı, Anlaşmazlık Yoluyla Hükümetleri Hedefliyor
- Gazeteci Kılığına Giren Pink Drainer, Discord Kullanıcılarından 3 Milyon Dolar Çaldı