A fenyegetés szereplői és a hackerek folyamatosan új módszereket fejlesztenek ki a rendszerekbe való behatolás és az illetéktelen hozzáférés érdekében. Most egy jelentése szerint a hackerek kifejlesztettek egy új, Skuld nevű, Golang-alapú rosszindulatú programot, amely Európában, Délkelet-Ázsiában és az Egyesült Államokban célozza meg és lopja el a Windows rendszereket.
Míg a fenyegetések szereplői általában nem használják a Golangot rosszindulatú programok fejlesztésére, a Skuld kihasználja egyszerűségét és platformok közötti kompatibilitását, hogy a rendszerek széles skáláját célozza meg, és információkat nyer ki a Discord webhook-jaival, így jelentős veszélyt jelent az áldozatokra.
Hasonlóan más információlopó rosszindulatú programokhoz
A kutatók szerint a „Deathined” nevű programozó által kifejlesztett Skuld hasonló más nyilvánosan elérhető információlopókhoz, mint például a Creal Stealer, a Luna Grabber és BlackCap Grabber. Mivel azonban a rosszindulatú program Golang-alapú, sokkal nehezebb észlelni és hatékony ellenintézkedéseket végrehajtani.
Sőt, az a tény, hogy bárki megtalálhatja a Deathinedet olyan népszerű közösségi média platformokon, mint a GitHub, a Twitter, a Reddit és a Tumblr, komoly aggodalomra ad okot, mivel más rosszindulatú szereplők is kihasználhatják a rosszindulatú programokat rendszereken.
Hogyan működik a rosszindulatú program?
A telepítés után a Skuld először ellenőrzi, hogy virtuális környezetben fut-e vagy sem. Ezután kibontja a futó folyamatok listáját, és leállítja azokat, amelyek megfelelnek a blokklistájának, így biztosítva a túlélést. A folyamat befejezése után a rosszindulatú program hamis hibaüzenetet jelenít meg az áldozatoknak, például: „Hibakód: Windows_0x988958 – Valami elromlott.”
Ha egy gyanútlan felhasználó az „Ok” üzenetre kattint, különböző modulok végrehajtását váltja ki a rosszindulatú programon belül, amelyek érzékeny információkat gyűjtenek és kiszűrnek az áldozat rendszeréből, beleértve a Windows-felhasználó profilmappájában található fájlokat, például az asztalt, a dokumentumokat, a letöltéseket, a képeket, a zenéket, a videókat és a OneDrive-ot. Végül a rosszindulatú program a Discord webhookot és a Gofile feltöltési szolgáltatást használja, hogy visszaküldje az ellopott információkat a fenyegetettség szereplőjének.
Ez az incidens ismét rávilágít a fenyegetés szereplőinek a rendszereinkbe való behatolásra irányuló növekvő erőfeszítésére. Ennek eredményeként az egyéneknek és a szervezeteknek előnyben kell részesíteniük a robusztus biztonsági gyakorlatokat, beleértve a szoftverek és operációs rendszerek rendszeres frissítését, megbízható vírusirtó használatát, tartózkodniuk kell az ismeretlen forrásból származó fájlok letöltésétől, erős jelszavak bevezetését és a kétfaktoros hitelesítés (2FA) engedélyezését. p>