マルチライセンス割引
Threat Database Malware スクルドマルウェア

スクルドマルウェア

Malware, StealersMezoまで
翻訳内容:
日本語

Go プログラミング言語で書かれた Skuld と呼ばれる新しい情報収集マルウェアが、ヨーロッパ、東南アジア、米国の Windows システムに侵入することに成功しました。

Skuld は、被害者から機密情報を盗むように特別に設計されています。これを達成するために、Discord や Web ブラウザなどのアプリケーション内のデータの検索、システム自体や被害者のフォルダーに保存されているファイルからの情報の抽出など、さまざまな手法が使用されます。

興味深いことに、Skuld は、Creal Stealer、Luna Grabber、BlackCap Grabber など、他の一般公開されている情報コレクターとの類似点を示しています。これらの重複する特徴は、これらのマルウェア株間の潜在的な接続または共有コードを示唆しています。 Skuld は、オンラインの偽名 Deathined で活動する開発者の作品であると考えられています。

Skuld マルウェアは侵害されたシステム上の所定のプロセスを終了させる可能性がある

Skuld マルウェアは実行されると、仮想環境内で実行されているかどうかのチェックなど、分析を妨害するいくつかの回避手法を使用します。これは、その動作と機能を理解しようとする研究者の努力を妨げるために行われます。さらに、Skuld は感染したシステム上で現在実行中のプロセスのリストを抽出し、事前定義されたブロックリストと比較します。いずれかのプロセスがブロックリストに存在するプロセスと一致する場合、Skuld はそれ自体を終了するのではなく、一致したプロセスの終了に進み、潜在的にセキュリティ対策を無力化するか、検出を妨害することを目的としています。

Skuld は、システム メタデータの収集に加えて、Web ブラウザに保存されている Cookie や認証情報などの貴重な情報を収集する機能を備えています。また、デスクトップ、ドキュメント、ダウンロード、写真、音楽、ビデオ、OneDrive など、Windows ユーザー プロファイル フォルダーにある特定のファイルも標的とします。 Skuld は、これらのフォルダーをターゲットにすることで、個人ファイルや基本的な文書を含む機密ユーザー データにアクセスし、場合によってはそれを窃取することを目的としています。

このマルウェアのアーティファクトの分析により、Better Discord および Discord Token Protector に関連する正規のファイルを破壊する意図的な意図が明らかになりました。この脅威的な活動は、Discord ユーザーが使用する正規のソフトウェアの機能を妨害しようとする試みを示唆しています。さらに、Skuld は、Rust プログラミング言語に基づく別のインフォスティーラーと同様の手法を採用しており、Discord アプリケーションに JavaScript コードを挿入してバックアップ コードを抽出します。この手法は、Skuld の情報収集機能の高度な性質と、ユーザー アカウントを侵害して追加の機密情報にアクセスする意図を強調しています。

Skuld マルウェアは追加の脅威活動を実行する可能性があります

Skuld マルウェアの特定のサンプルには、クリップボードの内容を操作するように設計されたクリッパー モジュールが含まれていることが実証されています。このモジュールを使用すると、Skuld は暗号通貨ウォレットのアドレスを攻撃者が管理するアドレスに置き換えることにより、暗号通貨の盗難を行うことができます。クリッパー モジュールがまだ開発中である可能性があり、暗号通貨資産を盗む Skuld の機能が将来的に強化される可能性があることを示しています。

収集されたデータの流出は、2 つの主な方法を通じて行われます。まず、このマルウェアは攻撃者が制御する Discord Webhook を利用し、攻撃者が盗んだ情報をインフラストラクチャに送信できるようにします。あるいは、Skuld は Gofile アップロード サービスを利用し、収集したデータを ZIP ファイルとしてアップロードします。この場合、流出したデータを含むアップロードされた ZIP ファイルにアクセスするための参照 URL が、同じ Discord Webhook 機能を使用して攻撃者に送信されます。

Skuld の存在とその進化する機能は、脅威アクターの間で Go プログラミング言語を利用する傾向が高まっていることを示しています。 Go のシンプルさ、効率性、クロスプラットフォーム互換性により、Go は攻撃者にとって魅力的な選択肢となっています。 Go を活用することで、攻撃者は複数のオペレーティング システムを標的にし、潜在的な被害者プールを拡大することができ、さまざまなプラットフォームにわたる堅牢なセキュリティ対策の必要性が浮き彫りになります。

トレンド

Triovideo.ru

Browser Hijackers
Triovideo.ruは、インターネット設定を変更するためにバンドルされたソフトウェアまたはフリーウェアのいずれかでダウンロードされたコンポーネントがインストールされているために自動的にロードされる可能性のある疑わしいWebサイトです。これらの変更の場合、Triovideo.ruは、一般的なWebブラウザのデフォルトのホームページまたは新しいタブページとして設定される場合があります。 Tr...

Elibe Ransomware

Ransomware
Elibe ランサムウェアは、ファイルを暗号化し、ファイル名に「.elibe」を追加して、被害者がデータにアクセスできないようにする機能を特徴としています。 Elibe ランサムウェアは、他の多くのランサムウェアと同様、コンピュータ システムに密かに侵入し、古いソフトウェアの脆弱性を悪用したり、フィッシングメールや悪意のある添付ファイルなどのソーシャル エンジニアリング戦術を利用したりするこ...

Campo Loader

Malware
Campo Loader(またはNLoader)は、日本のエンティティに対する攻撃キャンペーンで悪用されているマルウェアの脅威です。 Campo Loaderは、すでに侵害されたコンピューターに実際のマルウェアペイロードを配信するように設計された初期段階の脅威として機能します。 Campo Loaderは、特定の脅威アクターとその特定の目標に応じて、いくつかの異なるペイロードをドロップするこ...

最も見られました

Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
29,393
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
24,877
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
23,910
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...