Los actores de amenazas y los piratas informáticos siempre están desarrollando nuevos métodos para infiltrarse en los sistemas y obtener acceso no autorizado. Ahora, según un Informe del Trellix Advanced Research Center, los piratas informáticos han desarrollado un nuevo malware basado en Golang llamado Skuld, que está atacando y robando información de sistemas Windows en Europa, el sudeste asiático y los Estados Unidos.
Si bien los actores de amenazas generalmente no utilizan Golang para desarrollar malware, Skuld aprovecha su simplicidad y compatibilidad multiplataforma para atacar una amplia gama de sistemas y extrae información utilizando los webhooks de Discord, lo que representa una amenaza significativa para las víctimas.
Similar a otros programas maliciosos de ladrón de información
Según los investigadores, Skuld, desarrollado por un programador llamado”Deathined”, es similar a otros ladrones de información disponibles públicamente como Creal Stealer, Luna Grabber y Agarrador BlackCap. Pero, dado que el malware está basado en Golang, detectarlo e implementar contramedidas efectivas es mucho más difícil.
Además, el hecho de que cualquiera pueda encontrar a Deathined en plataformas de redes sociales populares como GitHub, Twitter, Reddit y Tumblr genera serias preocupaciones, ya que otros actores maliciosos también podrían explotar el malware para comprometer sistemas.
¿Cómo funciona el malware?
Una vez instalado, Skuld primero comprueba si se está ejecutando en un entorno virtual o no. Luego extrae una lista de procesos en ejecución y finaliza los que coinciden con su lista de bloqueo, asegurando así su supervivencia. Después de completar este proceso, el malware presenta a las víctimas un mensaje de error falso, como”Código de error: Windows_0x988958: algo salió mal”.
Ahora, si un usuario desprevenido hace clic en el mensaje”Aceptar”, activa la ejecución de diferentes módulos dentro del malware, que recopilan y extraen información confidencial del sistema de la víctima, incluidos los archivos que se encuentran en la carpeta de perfil de un usuario de Windows, como Escritorio, Documentos, Descargas, Imágenes, Música, Videos y OneDrive. Finalmente, el malware utiliza los webhooks de Discord y el servicio de carga de Gofile para enviar la información robada de regreso al actor de amenazas.
Este incidente destaca una vez más los crecientes esfuerzos de los actores de amenazas para infiltrarse en nuestros sistemas. Como resultado, las personas y las organizaciones deben priorizar prácticas de seguridad sólidas, incluida la actualización regular del software y los sistemas operativos, el uso de un antivirus confiable, abstenerse de descargar archivos de fuentes desconocidas, implementar contraseñas seguras y habilitar la autenticación de dos factores (2FA).