一個新的基于Golang的惡意軟件 Skuld，已經(jīng)危及歐洲、東南亞和美國的Windows系統(tǒng)。

Trellix研究員Ernesto Fernández Provecho在星期二的分析中說：這種新的惡意軟件試圖從受害者那里竊取敏感信息。主要是搜索存儲在 Discord 和網(wǎng)絡瀏覽器等應用程序中的數(shù)據(jù)。

Skuld與Creal Stealer、Luna Grabber和BlackCap Grabber等公開的惡意竊取軟件有相似之處，都是一位化名為Deathined的開發(fā)者的“杰作”。

該惡意軟件在執(zhí)行時，會檢查它是否在虛擬環(huán)境中運行，以試圖阻撓分析。從而進一步提取正在運行的進程列表，并將其與預定義的阻止列表進行比較。如果有進程與阻止列表中的進程相匹配，Skuld就會終止相匹配的進程。

除了收集系統(tǒng)元數(shù)據(jù)，該惡意軟件還具有收集存儲在網(wǎng)絡瀏覽器中的cookies和憑證以及Windows用戶配置文件夾的能力，包括桌面、文檔、下載、圖片、音樂、視頻和OneDrive。

Skuld的部分樣本還包含一個剪切器模塊，用于更改剪貼板內(nèi)容并通過交換錢包地址來竊取加密貨幣資產(chǎn)，網(wǎng)絡安全公司推測這項功能可能正在開發(fā)中。

數(shù)據(jù)滲出是通過攻擊者參與控制的Discord網(wǎng)絡鉤子或Gofile上傳服務實現(xiàn)的。在后者的情況下，使用相同的 Discord 網(wǎng)絡鉤子功能將向攻擊者發(fā)送一個參考 URL，以竊取包含被盜數(shù)據(jù)的上傳 ZIP 文件。

這一發(fā)展表明，由于Go編程語言的 "簡單、高效和跨平臺兼容性"，在攻擊者中被積極采用，從而使其成為針對多個操作系統(tǒng)并擴大其受害者池的有吸引力的工具。

此外，Golang的編譯性質(zhì)使惡意軟件作者能夠生成二進制可執(zhí)行文件，這些可執(zhí)行文件在分析和逆向工程方面更具挑戰(zhàn)性。這也使得安全研究人員和傳統(tǒng)的反惡意軟件解決方案更難有效地檢測和緩解這些威脅。

參考鏈接：https://thehackernews.com/2023/06/new-golang-based-skuld-malware-stealing.html