Bedrohungsakteure und Hacker entwickeln ständig neue Methoden, um Systeme zu infiltrieren und sich unbefugten Zugriff zu verschaffen. Laut einem Bericht vom Trellix Advanced Research Center: Hacker haben eine neue Golang-basierte Malware namens Skuld entwickelt, die auf Windows-Systeme in Europa, Südostasien und den Vereinigten Staaten abzielt und Informationen von diesen stiehlt.
Während Bedrohungsakteure Golang im Allgemeinen nicht zur Entwicklung von Malware nutzen, nutzt Skuld seine Einfachheit und plattformübergreifende Kompatibilität, um eine Vielzahl von Systemen anzugreifen und Informationen mithilfe der Webhooks von Discord zu extrahieren, was eine erhebliche Bedrohung für die Opfer darstellt.
Ähnlich wie andere Informationsdiebstahl-Malware
Den Forschern zufolge ähnelt Skuld, das von einem Programmierer namens „Deathined“ entwickelt wurde, anderen öffentlich verfügbaren Informationsdiebstahlprogrammen wie Creal Stealer, Luna Grabber und anderen BlackCap Grabber. Da die Malware jedoch auf Golang basiert, ist es viel schwieriger, sie zu erkennen und wirksame Gegenmaßnahmen zu ergreifen.
Darüber hinaus gibt die Tatsache, dass jeder Deathined auf beliebten Social-Media-Plattformen wie GitHub, Twitter, Reddit und Tumblr finden kann, Anlass zu ernsthafter Sorge, da auch andere böswillige Akteure die Malware zur Kompromittierung ausnutzen könnten Systeme.
Wie funktioniert die Malware?
Nach der Installation prüft Skuld zunächst, ob sie in einer virtuellen Umgebung ausgeführt wird oder nicht. Anschließend extrahiert es eine Liste laufender Prozesse und beendet diejenigen, die seiner Sperrliste entsprechen, und sichert so sein Überleben. Nach Abschluss dieses Vorgangs zeigt die Malware den Opfern eine gefälschte Fehlermeldung an, z. B. „Fehlercode: Windows_0x988958 – Es ist ein Fehler aufgetreten.“
Wenn nun ein ahnungsloser Benutzer auf die Meldung „Ok“ klickt, Es löst die Ausführung verschiedener Module innerhalb der Malware aus, die vertrauliche Informationen aus dem System des Opfers sammeln und herausfiltern, einschließlich Dateien im Profilordner eines Windows-Benutzers, z. B. Desktop, Dokumente, Downloads, Bilder, Musik, Videos und OneDrive. Schließlich nutzt die Malware Discord-Webhooks und den Gofile-Upload-Dienst, um die gestohlenen Informationen an den Bedrohungsakteur zurückzusenden.
Dieser Vorfall verdeutlicht einmal mehr die zunehmenden Bemühungen von Bedrohungsakteuren, in unsere Systeme einzudringen. Daher müssen Einzelpersonen und Organisationen robusten Sicherheitspraktiken Priorität einräumen, einschließlich der regelmäßigen Aktualisierung von Software und Betriebssystemen, der Verwendung eines vertrauenswürdigen Antivirenprogramms, des Verzichts auf das Herunterladen von Dateien aus unbekannten Quellen, der Implementierung sicherer Passwörter und der Aktivierung der Zwei-Faktor-Authentifizierung (2FA).