一个新的基于Golang的恶意软件 Skuld,已经危及欧洲、东南亚和美国的Windows系统。
Trellix研究员Ernesto Fernández Provecho在星期二的分析中说:这种新的恶意软件试图从受害者那里窃取敏感信息。主要是搜索存储在 Discord 和网络浏览器等应用程序中的数据。
Skuld与Creal Stealer、Luna Grabber和BlackCap Grabber等公开的恶意窃取软件有相似之处,都是一位化名为Deathined的开发者的“杰作”。
该恶意软件在执行时,会检查它是否在虚拟环境中运行,以试图阻挠分析。从而进一步提取正在运行的进程列表,并将其与预定义的阻止列表进行比较。如果有进程与阻止列表中的进程相匹配,Skuld就会终止相匹配的进程。
除了收集系统元数据,该恶意软件还具有收集存储在网络浏览器中的cookies和凭证以及Windows用户配置文件夹的能力,包括桌面、文档、下载、图片、音乐、视频和OneDrive。
Skuld的部分样本还包含一个剪切器模块,用于更改剪贴板内容并通过交换钱包地址来窃取加密货币资产,网络安全公司推测这项功能可能正在开发中。
数据渗出是通过攻击者参与控制的Discord网络钩子或Gofile上传服务实现的。在后者的情况下,使用相同的 Discord 网络钩子功能将向攻击者发送一个参考 URL,以窃取包含被盗数据的上传 ZIP 文件。
这一发展表明,由于Go编程语言的 "简单、高效和跨平台兼容性",在攻击者中被积极采用,从而使其成为针对多个操作系统并扩大其受害者池的有吸引力的工具。
此外,Golang的编译性质使恶意软件作者能够生成二进制可执行文件,这些可执行文件在分析和逆向工程方面更具挑战性。这也使得安全研究人员和传统的反恶意软件解决方案更难有效地检测和缓解这些威胁。
参考链接:https://thehackernews.com/2023/06/new-golang-based-skuld-malware-stealing.html