- 9,444
- 18
- 8 Ноя 2022
Вредонос способен целенаправленно похищать Discord-токены жертв, а кастомные модификации клиента бессильны.
Исследователи из компании Trellix Для просмотра ссылки Войдиили Зарегистрируйся новый вид похитителя данных под названием «Skuld». Вредонос написан на языке программирования Go (Golang), который заражает компьютеры на Windows в Европе, Юго-Восточной Азии и США.
«Этот новый вид вредоносного ПО пытается украсть конфиденциальную информацию своих жертв. Для этого он ищет данные, хранящиеся пользовательских приложениях, таких как Discord , а также веб-браузерах; информацию о системе и файлы, хранящиеся в папках пользователя», — сказал Эрнесто Фернандес Превечо, исследователь из компании Trellix.
Skuld имеет сходство с такими инфостилерами, как Creal Stealer, Luna Grabber и BlackCap Grabber. Его создателем является разработчик, который использует онлайн-псевдоним «Deathined» на различных социальных платформах, таких как GitHub , Twitter *, Reddit и Tumblr .
Trellix также обнаружила отдельный Telegram -канал, который хакер использует для продвижения своих продуктов по модели MaaS .
После запуска вредонос проверяет, не работает ли он в виртуальной среде, чтобы избежать анализа. Если всё нормально, он просматривает список запущенных процессов и завершает те, которые могут препятствовать его работе.
Помимо сбора данных о системе, вирус обладает возможностью похищать cookie и учётные данные, хранящиеся в веб-браузерах, а также файлы, находящиеся в папках профиля пользователя Windows, включая Рабочий стол, Документы, Загрузки, Изображения, Музыка, Видео и OneDrive.
Экземпляр Skuld, проанализированный Trellix, показывает, что он спроектирован таким образом, чтобы повреждать законные файлы, связанные с Better Discord , Discord Token Protector , а затем беспрепятственно внедрять зловредный JavaScript -код в Discord-клиент для похищения резервных кодов профиля.
Некоторые образцы Skuld также содержат модуль Clipper для изменения содержимого буфера обмена и кражи криптовалютных активов путем подмены адресов кошельков.
Финальная выгрузка данных осуществляется с помощью управляемого злоумышленником вебхука Discord или хостингового сервиса Gofile. В случае использования последнего ссылка на выгруженный ZIP-файл с похищенными данными отправляется злоумышленнику с помощью той же функциональности вебхука Discord.
Результаты исследования демонстрируют увеличение популярности языка программирования Go среди злоумышленников. В основном из-за его простоты, эффективности и кроссплатформенной совместимости, что делает его привлекательным средством для атаки сразу нескольких операционных систем.
«Кроме того, компилируемый характер Go позволяет авторам вредоносного ПО создавать двоичные исполняемые файлы, которые более сложно анализировать и декомпилировать. Это затрудняет обнаружение и устранение этих угроз для специалистов по безопасности и традиционных антивирусных решений», — отметили в Trellix.
Исследователи из компании Trellix Для просмотра ссылки Войди
«Этот новый вид вредоносного ПО пытается украсть конфиденциальную информацию своих жертв. Для этого он ищет данные, хранящиеся пользовательских приложениях, таких как Discord , а также веб-браузерах; информацию о системе и файлы, хранящиеся в папках пользователя», — сказал Эрнесто Фернандес Превечо, исследователь из компании Trellix.
Skuld имеет сходство с такими инфостилерами, как Creal Stealer, Luna Grabber и BlackCap Grabber. Его создателем является разработчик, который использует онлайн-псевдоним «Deathined» на различных социальных платформах, таких как GitHub , Twitter *, Reddit и Tumblr .
Trellix также обнаружила отдельный Telegram -канал, который хакер использует для продвижения своих продуктов по модели MaaS .
После запуска вредонос проверяет, не работает ли он в виртуальной среде, чтобы избежать анализа. Если всё нормально, он просматривает список запущенных процессов и завершает те, которые могут препятствовать его работе.
Помимо сбора данных о системе, вирус обладает возможностью похищать cookie и учётные данные, хранящиеся в веб-браузерах, а также файлы, находящиеся в папках профиля пользователя Windows, включая Рабочий стол, Документы, Загрузки, Изображения, Музыка, Видео и OneDrive.
Экземпляр Skuld, проанализированный Trellix, показывает, что он спроектирован таким образом, чтобы повреждать законные файлы, связанные с Better Discord , Discord Token Protector , а затем беспрепятственно внедрять зловредный JavaScript -код в Discord-клиент для похищения резервных кодов профиля.
Некоторые образцы Skuld также содержат модуль Clipper для изменения содержимого буфера обмена и кражи криптовалютных активов путем подмены адресов кошельков.
Финальная выгрузка данных осуществляется с помощью управляемого злоумышленником вебхука Discord или хостингового сервиса Gofile. В случае использования последнего ссылка на выгруженный ZIP-файл с похищенными данными отправляется злоумышленнику с помощью той же функциональности вебхука Discord.
Результаты исследования демонстрируют увеличение популярности языка программирования Go среди злоумышленников. В основном из-за его простоты, эффективности и кроссплатформенной совместимости, что делает его привлекательным средством для атаки сразу нескольких операционных систем.
«Кроме того, компилируемый характер Go позволяет авторам вредоносного ПО создавать двоичные исполняемые файлы, которые более сложно анализировать и декомпилировать. Это затрудняет обнаружение и устранение этих угроз для специалистов по безопасности и традиционных антивирусных решений», — отметили в Trellix.
- Источник новости
- www.securitylab.ru
