(相關(guān)資料圖)
一個新的基于Golang的惡意軟件 Skuld�����,已經(jīng)危及歐洲、東南亞和美國的Windows系統(tǒng)�����。
Trellix研究員Ernesto Fernández Provecho在星期二的分析中說:這種新的惡意軟件試圖從受害者那里竊取敏感信息。主要是搜索存儲在 Discord 和網(wǎng)絡(luò)瀏覽器等應(yīng)用程序中的數(shù)據(jù)�。
Skuld與Creal Stealer、Luna Grabber和BlackCap Grabber等公開的惡意竊取軟件有相似之處�,都是一位化名為Deathined的開發(fā)者的“杰作”。
該惡意軟件在執(zhí)行時��,會檢查它是否在虛擬環(huán)境中運(yùn)行����,以試圖阻撓分析�����。從而進(jìn)一步提取正在運(yùn)行的進(jìn)程列表���,并將其與預(yù)定義的阻止列表進(jìn)行比較���。如果有進(jìn)程與阻止列表中的進(jìn)程相匹配,Skuld就會終止相匹配的進(jìn)程�。
除了收集系統(tǒng)元數(shù)據(jù),該惡意軟件還具有收集存儲在網(wǎng)絡(luò)瀏覽器中的cookies和憑證以及Windows用戶配置文件夾的能力�,包括桌面、文檔���、下載����、圖片、音樂�����、視頻和OneDrive��。
Skuld的部分樣本還包含一個剪切器模塊���,用于更改剪貼板內(nèi)容并通過交換錢包地址來竊取加密貨幣資產(chǎn)�����,網(wǎng)絡(luò)安全公司推測這項(xiàng)功能可能正在開發(fā)中��。
數(shù)據(jù)滲出是通過攻擊者參與控制的Discord網(wǎng)絡(luò)鉤子或Gofile上傳服務(wù)實(shí)現(xiàn)的�����。在后者的情況下���,使用相同的 Discord 網(wǎng)絡(luò)鉤子功能將向攻擊者發(fā)送一個參考 URL�,以竊取包含被盜數(shù)據(jù)的上傳 ZIP 文件����。
這一發(fā)展表明,由于Go編程語言的 "簡單�����、高效和跨平臺兼容性"��,在攻擊者中被積極采用��,從而使其成為針對多個操作系統(tǒng)并擴(kuò)大其受害者池的有吸引力的工具���。
此外,Golang的編譯性質(zhì)使惡意軟件作者能夠生成二進(jìn)制可執(zhí)行文件���,這些可執(zhí)行文件在分析和逆向工程方面更具挑戰(zhàn)性���。這也使得安全研究人員和傳統(tǒng)的反惡意軟件解決方案更難有效地檢測和緩解這些威脅。
參考鏈接:https://thehackernews.com/2023/06/new-golang-based-skuld-malware-stealing.html
