Cyberthreat.id - Pencuri informasi baru berbasis Golang bernama Skuld telah mengkompromikan sistem Windows di seluruh Eropa, Asia Tenggara, dan A.S.

"Strain malware baru ini mencoba mencuri informasi sensitif dari korbannya," kata peneliti Trellix Ernesto Fernández Provecho dalam analisis hari Selasa sebagaimana dikutip The Hacker News.

"Untuk menyelesaikan tugas ini, ia mencari data yang disimpan dalam aplikasi seperti Discord dan browser web; informasi dari sistem dan file yang disimpan di folder korban."

Skuld, yang berbagi tumpang tindih dengan pencuri yang tersedia untuk umum seperti Creal Stealer, Luna Grabber, dan BlackCap Grabber, adalah hasil karya pengembang yang menggunakan alias online Deathined di berbagai platform media sosial seperti GitHub, Twitter, Reddit, dan Tumblr.

Juga terlihat oleh Trellix adalah grup Telegram bernama deathinews, yang menunjukkan bahwa jalur online ini dapat digunakan untuk mempromosikan penawaran tersebut di masa mendatang sebagai layanan bagi pelaku ancaman lainnya.

Malware, setelah dieksekusi, memeriksa apakah berjalan di lingkungan virtual dalam upaya menggagalkan analisis. Ini lebih lanjut mengekstrak daftar proses yang berjalan dan membandingkannya dengan daftar blokir yang telah ditentukan sebelumnya. Jika ada proses yang cocok dengan yang ada dalam daftar blokir, Skuld melanjutkan untuk menghentikan proses yang cocok, bukan menghentikannya sendiri.

Selain mengumpulkan metadata sistem, malware ini memiliki kemampuan untuk memanen cookie dan kredensial yang disimpan di browser web serta file yang ada di folder profil pengguna Windows, termasuk Desktop, Dokumen, Unduhan, Gambar, Musik, Video, dan OneDrive.

Artefak yang dianalisis oleh Trellix menunjukkan bahwa itu direkayasa untuk merusak file sah yang terkait dengan Better Discord dan Discord Token Protector dan menyuntikkan kode JavaScript ke dalam aplikasi Discord untuk menyedot kode cadangan, mencerminkan teknik yang serupa dengan infostealer berbasis Rust lainnya yang baru-baru ini didokumentasikan oleh Trend Micro .

Sampel Skuld yang dipilih juga menggabungkan modul clipper untuk mengubah konten clipboard dan mencuri aset cryptocurrency dengan menukar alamat dompet, yang menurut teori perusahaan keamanan siber kemungkinan sedang dikembangkan.

Pengelupasan data dicapai melalui webhook Discord yang dikontrol aktor atau layanan unggahan Gofile. Dalam kasus yang terakhir, URL referensi untuk mencuri file ZIP yang diunggah berisi data yang dicuri dikirim ke penyerang menggunakan fungsionalitas webhook Discord yang sama.

Pengembangan menunjuk pada pengadopsian bahasa pemrograman Go secara stabil di antara pelaku ancaman karena "kesederhanaan, efisiensi, dan kompatibilitas lintas platform", sehingga menjadikannya sarana yang menarik untuk menargetkan beberapa sistem operasi dan memperluas kumpulan korban mereka.

"Selain itu, sifat terkompilasi Golang memungkinkan pembuat malware menghasilkan executable biner yang lebih menantang untuk dianalisis dan direkayasa ulang," kata Fernández Provecho. "Ini mempersulit peneliti keamanan dan solusi anti-malware tradisional untuk mendeteksi dan mengurangi ancaman ini secara efektif."[]