adlı yeni bir Golang tabanlı bilgi hırsızı Borç Avrupa, Güneydoğu Asya ve ABD’deki Windows sistemlerini tehlikeye attı
Trellix araştırmacısı Ernesto Fernández Provecho Salı günü yaptığı bir analizde, “Bu yeni kötü amaçlı yazılım türü, kurbanlarından hassas bilgileri çalmaya çalışıyor.” dedi. “Bu görevi gerçekleştirmek için, Discord ve web tarayıcıları gibi uygulamalarda saklanan verileri, sistemdeki bilgileri ve kurbanın klasörlerinde saklanan dosyaları arar.”
Creal Stealer, Luna Grabber ve BlackCap Grabber gibi halka açık hırsızlarla örtüşen paylaşımlar paylaşan Skuld, GitHub, Twitter, Reddit ve Tumblr gibi çeşitli sosyal medya platformlarında çevrimiçi takma adı Deathined olan bir geliştiricinin eseridir.
Ayrıca Trellix tarafından tespit edilen Deathinews adlı bir Telegram grubu, bu çevrimiçi yolların gelecekte diğer tehdit aktörleri için bir hizmet olarak sunulan teklifi tanıtmak için kullanılabileceğini belirtiyor.
Kötü amaçlı yazılım yürütüldükten sonra, analizi engellemek amacıyla sanal bir ortamda çalışıp çalışmadığını kontrol eder. Ayrıca, çalışan işlemlerin listesini çıkarır ve önceden tanımlanmış bir engelleme listesiyle karşılaştırır. Herhangi bir işlemin engellenenler listesinde bulunanlarla eşleşmesi durumunda Skuld, kendisini sonlandırmak yerine eşleşen işlemi sonlandırmaya devam eder.
Kötü amaçlı yazılım, sistem meta verilerini toplamanın yanı sıra, masaüstü, Belgeler, İndirilenler, Resimler, Müzik, Videolar ve OneDrive dahil olmak üzere Windows kullanıcı profili klasörlerinde bulunan dosyaların yanı sıra web tarayıcılarında depolanan çerezleri ve kimlik bilgilerini toplama yeteneklerine sahiptir.
Trellix tarafından analiz edilen eserler, Better Discord ve Discord Token Protector ile ilişkili yasal dosyaları bozmak ve yedek kodları sifonlamak için Discord uygulamasına JavaScript kodu enjekte etmek üzere tasarlandığını gösteriyor. .
🔐 API Güvenliğinde Uzmanlaşma: Gerçek Saldırı Yüzeyinizi Anlamak
API ekosisteminizdeki kullanılmayan güvenlik açıklarını keşfedin ve sağlam güvenlik için proaktif adımlar atın. Bilgilendirici web seminerimize katılın!
Oturuma Katılın
Skuld’un seçkin örnekleri ayrıca, pano içeriğini değiştirmek ve cüzdan adreslerini değiştirerek kripto para varlıklarını çalmak için bir kesme modülü içerir; siber güvenlik şirketinin kuramsallaştırdığı, muhtemelen geliştirme aşamasındadır.
Veri hırsızlığı, oyuncu tarafından kontrol edilen bir Discord web kancası veya Gofile yükleme hizmeti aracılığıyla gerçekleştirilir. İkincisi durumunda, aynı Discord webhook işlevi kullanılarak saldırgana çalınan verileri içeren yüklenen ZIP dosyasını çalmak için bir referans URL gönderilir.
Geliştirme, “basitliği, verimliliği ve platformlar arası uyumluluğu” nedeniyle tehdit aktörleri arasında Go programlama dilinin istikrarlı bir şekilde benimsenmesine işaret ediyor ve böylece birden fazla işletim sistemini hedeflemek ve kurban havuzunu genişletmek için onu çekici bir araç haline getiriyor.
Fernández Provecho, “Ayrıca, Golang’ın derlenmiş doğası, kötü amaçlı yazılım yazarlarının analiz etmesi ve tersine mühendislik uygulaması daha zor olan ikili yürütülebilir dosyalar üretmesine olanak tanır.” “Bu, güvenlik araştırmacılarının ve geleneksel kötü amaçlı yazılımdan koruma çözümlerinin bu tehditleri etkili bir şekilde algılamasını ve azaltmasını zorlaştırıyor.”