Aktorzy i hakerzy nieustannie opracowują nowe metody infiltracji systemów i uzyskiwania nieautoryzowanego dostępu. Teraz, zgodnie z raport z Trellix Advanced Research Center hakerzy opracowali nowe złośliwe oprogramowanie oparte na Golang o nazwie Skuld, które atakuje i kradnie informacje z systemów Windows w Europie, Azji Południowo-Wschodniej i Stanach Zjednoczonych.
Chociaż cyberprzestępcy generalnie nie wykorzystują Golanga do tworzenia złośliwego oprogramowania, Skuld wykorzystuje jego prostotę i kompatybilność między platformami, aby atakować szeroką gamę systemów i wyodrębniać informacje za pomocą haków internetowych Discorda, stwarzając w ten sposób poważne zagrożenie dla ofiar.
Podobne do innych złośliwych programów do kradzieży informacji
Według badaczy Skuld, opracowany przez programistę o imieniu „Deathined”, jest podobny do innych publicznie dostępnych programów do kradzieży informacji, takich jak Creal Stealer, Luna Grabber i Chwytak BlackCap. Ale ponieważ złośliwe oprogramowanie jest oparte na Golang, wykrycie go i wdrożenie skutecznych środków zaradczych jest znacznie trudniejsze.
Ponadto fakt, że każdy może znaleźć Deathined na popularnych platformach mediów społecznościowych, takich jak GitHub, Twitter, Reddit i Tumblr, budzi poważne obawy, ponieważ inne złośliwe podmioty mogą również wykorzystać złośliwe oprogramowanie do włamania się systemów.
Jak działa złośliwe oprogramowanie?
Po zainstalowaniu Skuld najpierw sprawdza, czy działa w środowisku wirtualnym, czy nie. Następnie wyodrębnia listę uruchomionych procesów i kończy te, które pasują do jego listy zablokowanych, zapewniając w ten sposób jego przetrwanie. Po zakończeniu tego procesu złośliwe oprogramowanie przedstawia ofiarom fałszywy komunikat o błędzie, taki jak „Kod błędu: Windows_0x988958 – Coś poszło nie tak”.
Teraz, jeśli niczego nie podejrzewający użytkownik kliknie komunikat „Ok”, uruchamia różne moduły w złośliwym oprogramowaniu, które zbierają i wydobywają poufne informacje z systemu ofiary, w tym pliki znajdujące się w folderze profilu użytkownika systemu Windows, takie jak Pulpit, Dokumenty, Pobrane, Obrazy, Muzyka, Wideo i OneDrive. Złośliwe oprogramowanie wykorzystuje webhooki Discord i usługę przesyłania Gofile do wysyłania skradzionych informacji z powrotem do aktora odpowiedzialnego za zagrożenie.
Ten incydent po raz kolejny pokazuje rosnące wysiłki cyberprzestępców w celu infiltracji naszych systemów. W rezultacie osoby i organizacje muszą priorytetowo traktować solidne praktyki bezpieczeństwa, w tym regularne aktualizowanie oprogramowania i systemów operacyjnych, używanie godnego zaufania programu antywirusowego, powstrzymywanie się od pobierania plików z nieznanych źródeł, wdrażanie silnych haseł i umożliwianie uwierzytelniania dwuskładnikowego (2FA).
