Atores de ameaças e hackers estão sempre desenvolvendo novos métodos para se infiltrar em sistemas e obter acesso não autorizado. Agora, de acordo com um relatório do Trellix Advanced Research Center, os hackers desenvolveram um novo malware baseado em Golang chamado Skuld, que tem como alvo e rouba informações de sistemas Windows na Europa, Sudeste Asiático e Estados Unidos.
Embora os agentes de ameaças geralmente não utilizem Golang para desenvolver malware, Skuld aproveita sua simplicidade e compatibilidade entre plataformas para atingir uma ampla variedade de sistemas e extrai informações usando os webhooks do Discord, representando uma ameaça significativa para as vítimas.
Semelhante a outros malwares ladrões de informações
De acordo com os pesquisadores, Skuld, desenvolvido por um programador chamado “Deathined”, é semelhante a outros ladrões de informações disponíveis publicamente, como Creal Stealer, Luna Grabber e Agarrador BlackCap. Mas, como o malware é baseado em Golang, detectá-lo e implementar contramedidas eficazes é muito mais difícil.
Além disso, o fato de que qualquer pessoa pode encontrar Deathined em plataformas populares de mídia social como GitHub, Twitter, Reddit e Tumblr levanta sérias preocupações, pois outros agentes mal-intencionados também podem explorar o malware para comprometer sistemas.
Como funciona o malware?
Depois de instalado, Skuld primeiro verifica se está sendo executado em um ambiente virtual ou não. Em seguida, ele extrai uma lista de processos em execução e encerra aqueles que correspondem à sua lista de bloqueio, garantindo assim sua sobrevivência. Depois de concluir esse processo, o malware apresenta às vítimas uma mensagem de erro falsa, como “Código de erro: Windows_0x988958 – Algo deu errado.”
Agora, se um usuário desavisado clicar na mensagem “Ok”, ele aciona a execução de diferentes módulos dentro do malware, que coletam e exfiltram informações confidenciais do sistema da vítima, incluindo arquivos encontrados na pasta de perfil de um usuário do Windows, como Desktop, Documentos, Downloads, Imagens, Música, Vídeos e OneDrive. Por fim, o malware utiliza webhooks do Discord e o serviço de upload Gofile para enviar as informações roubadas de volta ao agente da ameaça.
Esse incidente mais uma vez destaca os esforços crescentes dos agentes de ameaças para se infiltrar em nossos sistemas. Como resultado, indivíduos e organizações devem priorizar práticas de segurança robustas, incluindo atualização regular de software e sistemas operacionais, uso de um antivírus confiável, abstenção de download de arquivos de fontes desconhecidas, implementação de senhas fortes e ativação da autenticação de dois fatores (2FA).
