Les acteurs de la menace et les pirates développent constamment de nouvelles méthodes pour infiltrer les systèmes et obtenir un accès non autorisé. Maintenant, selon un rapport du Trellix Advanced Research Center, les pirates ont développé un nouveau malware basé sur Golang appelé Skuld, qui cible et vole des informations des systèmes Windows à travers l’Europe, l’Asie du Sud-Est et les États-Unis.
Alors que les acteurs de la menace n’utilisent généralement pas Golang pour développer des logiciels malveillants, Skuld tire parti de sa simplicité et de sa compatibilité multiplateforme pour cibler un large éventail de systèmes et extraire des informations à l’aide des webhooks de Discord, posant ainsi une menace importante pour les victimes.
Semblable à d’autres logiciels malveillants voleurs d’informations
Selon les chercheurs, Skuld, développé par un programmeur nommé « Deathined », est similaire à d’autres voleurs d’informations accessibles au public tels que Creal Stealer, Luna Grabber et BlackCap Grabber. Mais comme le logiciel malveillant est basé sur Golang, il est beaucoup plus difficile de le détecter et de mettre en œuvre des contre-mesures efficaces.
De plus, le fait que n’importe qui puisse trouver Deathined sur des plateformes de médias sociaux populaires comme GitHub, Twitter, Reddit et Tumblr soulève de sérieuses inquiétudes, car d’autres acteurs malveillants pourraient également exploiter le logiciel malveillant pour compromettre les systèmes.
Comment fonctionne le malware ?
Une fois installé, Skuld vérifie d’abord s’il s’exécute ou non dans un environnement virtuel. Il extrait ensuite une liste des processus en cours d’exécution et met fin à ceux qui correspondent à sa liste de blocage, assurant ainsi sa survie. Après avoir terminé ce processus, le logiciel malveillant présente aux victimes un faux message d’erreur, tel que « Code d’erreur : Windows_0x988958 – Quelque chose s’est mal passé ».
Désormais, si un utilisateur sans méfiance clique sur le message « Ok », cela déclenche l’exécution de différents modules au sein du logiciel malveillant, qui collectent et exfiltrent des informations sensibles du système de la victime, y compris des fichiers trouvés dans le dossier de profil d’un utilisateur Windows, tels que Desktop, Documents, téléchargements, images, musique, vidéos et OneDrive. Enfin, le logiciel malveillant utilise les webhooks Discord et le service de téléchargement Gofile pour renvoyer les informations volées à l’auteur de la menace.
Cet incident met une fois de plus en évidence les efforts croissants des acteurs de la menace pour infiltrer nos systèmes. Par conséquent, les individus et les organisations doivent donner la priorité à des pratiques de sécurité robustes, y compris la mise à jour régulière des logiciels et des systèmes d’exploitation, l’utilisation d’un antivirus fiable, l’abstention de télécharger des fichiers provenant de sources inconnues, la mise en œuvre de mots de passe forts et l’activation de l’authentification à deux facteurs (2FA).
