Un nouveau voleur d’informations basé sur Golang appelé Crâne a compromis les systèmes Windows en Europe, en Asie du Sud-Est et aux États-Unis
« Cette nouvelle souche de logiciels malveillants tente de voler des informations sensibles à ses victimes », a déclaré Ernesto Fernández Provecho, chercheur chez Trellix. a dit dans une analyse de mardi. « Pour accomplir cette tâche, il recherche les données stockées dans des applications telles que Discord et les navigateurs Web ; les informations du système et les fichiers stockés dans les dossiers de la victime. »
Skuld, qui partage des chevauchements avec des voleurs accessibles au public comme Voleur de Creal, Attrape-Luneet BlackCap Grabberest l’œuvre d’un développeur qui utilise l’alias en ligne Deathined sur diverses plateformes de médias sociaux comme GitHub, Twitter, Reddit et Tumblr.
Trellix a également repéré un groupe Telegram nommé deathinews, indiquant que ces avenues en ligne pourraient être utilisées pour promouvoir l’offre à l’avenir en tant que service pour d’autres acteurs de la menace.
Le logiciel malveillant, lors de son exécution, vérifie s’il s’exécute dans un environnement virtuel dans le but de contrecarrer l’analyse. Il extrait en outre la liste des processus en cours d’exécution et la compare à une liste de blocage prédéfinie. Si un processus correspond à ceux présents dans la liste de blocage, Skuld met fin au processus correspondant au lieu de se terminer lui-même.
Outre la collecte des métadonnées du système, le logiciel malveillant possède des capacités pour collecter les cookies et les informations d’identification stockées dans les navigateurs Web ainsi que les fichiers présents dans les dossiers de profil utilisateur Windows, y compris le bureau, les documents, les téléchargements, les images, la musique, les vidéos et OneDrive.
Les artefacts analysés par Trellix montrent qu’il est conçu pour corrompre les fichiers légitimes associés à Better Discord et Discord Token Protector et injecter du code JavaScript dans l’application Discord pour siphonner les codes de sauvegarde, reflétant une technique similaire à celle d’un autre voleur d’informations basé sur Rust récemment documenté par Trend Micro .
🔐 Maîtriser la sécurité des API : Comprendre votre véritable surface d’attaque
Découvrez les vulnérabilités inexploitées de votre écosystème d’API et prenez des mesures proactives pour une sécurité à toute épreuve. Rejoignez notre webinaire perspicace !
Certains échantillons de Skuld intègrent également un module clipper pour modifier le contenu du presse-papiers et voler des actifs de crypto-monnaie en échangeant les adresses de portefeuille, ce qui, selon la société de cybersécurité, est probablement en cours de développement.
L’exfiltration des données est réalisée au moyen d’un webhook Discord contrôlé par un acteur ou du service de téléchargement Gofile. Dans ce dernier cas, une URL de référence pour voler le fichier ZIP téléchargé contenant les données volées est envoyée à l’attaquant en utilisant la même fonctionnalité de webhook Discord.
Le développement indique une adoption constante du langage de programmation Go parmi les acteurs de la menace en raison de sa « simplicité, efficacité et compatibilité multiplateforme », ce qui en fait un véhicule attrayant pour cibler plusieurs systèmes d’exploitation et élargir leur bassin de victimes.
« De plus, la nature compilée de Golang permet aux auteurs de logiciels malveillants de produire des exécutables binaires plus difficiles à analyser et à désosser », a noté Fernández Provecho. « Cela rend plus difficile pour les chercheurs en sécurité et les solutions anti-malware traditionnelles de détecter et d’atténuer efficacement ces menaces. »