Hybride analyse -onderzoekers geïdentificeerd ‘Shuyal’, een nieuwe infostele malware die inloggegevens en systeemgegevens van 19 browsers exfiltreert, waaronder op privacy gerichte opties, terwijl het gebruik van geavanceerde systeemverkenning en ontwijkingstechnieken.
Shuyal, genoemd naar unieke identificatiegegevens in het PDB-pad van zijn uitvoerbare bestand, richt zich op een breed scala aan browsers, die reguliere toepassingen zoals Chrome en Edge omvat, naast privacy-georiënteerde browsers zoals Tor. De mogelijkheden ervan strekken zich verder uit dan diefstal van de referenties, een gemeenschappelijke functie onder stealers. De malware houdt zich actief bezig met verkenning van het systeem, verzamelt zorgvuldig informatie met betrekking tot schijfaandrijvingen, invoerapparaten en weergaveconfiguraties. Bovendien legt Shuyal systeem screenshots en klembordinhoud vast. Deze verzamelde gegevens, inclusief eventuele gestolen discord -tokens, worden vervolgens geëxfiltreerd met behulp van een Telegram BOT -infrastructuur.
De malware bevat geavanceerde technieken voor defensie -ontduiking. Een opmerkelijke methode omvat de automatische beëindiging en daaropvolgende uitschakelen van Windows Task Manager. Dit wordt bereikt door de waarde “DisableetaskMgr” te wijzigen. Shuyal handhaaft ook operationele stealth door zelf-deletiemechanismen. Na het voltooien van zijn primaire functies verwijdert de malware sporen van zijn activiteit door een batchbestand te gebruiken. Dit proces zorgt voor minimale forensische voetafdruk op het gecompromitteerde systeem.
Naast Chrome, Edge en Tor bevat de uitgebreide targetinglijst van Shuyal Moedig,, OperaOperagx, Yandex, Vivaldi, Chromium, WaterFox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360browser, UR, Avast en Falko. De operationele volgorde van de malware omvat toegang tot en exfiltrerende browser- en systeeminformatie tot een aanvallergestuurde server. Hybride analyse merkt op dat Shuyal de ontwijkingstactieken verhoogt door ongewoon heimelijke methoden.
Bij de inzet schakelt Shuyal Windows Task Manager onmiddellijk uit op de getroffen machine. Hierna probeert het toegang te krijgen tot inloggegevens uit de beoogde lijst met browsers. De malware spawnt meerdere processen die zijn ontworpen om specifieke hardwaregegevens op te halen. Deze details omvatten het model en de serienummers van beschikbare schijven, informatie over het toetsenbord en de muis die op de machine is geïnstalleerd en uitgebreide details over de monitor die aan de computer is gekoppeld.
Tegelijkertijd legt Shuyal een screenshot vast van het huidige actieve display en steelt gegevens die aanwezig zijn in het systeemklembord. De Stealer gebruikt PowerShell om een map in de directory “%temp%” te comprimeren. Deze gecomprimeerde map dient als een repository voor de gegevens in afwachting van exfiltratie, die vervolgens plaatsvindt via een telegram -bot. De Stealer vertoont stealth door nieuw gemaakte bestanden te verwijderen uit de browsersdatabases en alle bestanden uit de runtime -directory die eerder waren geëxfiltreerd. Voor persistentie kopieert Shuyal zichzelf naar de opstartmap.
Het landschap van infosteelmalware wordt gekenmerkt door continue evolutie, beïnvloed door factoren zoals wetshandhavingsoperaties. Een FBI -operatie in kan bijvoorbeeld de werking van Lumma Stealer verstoord. Deze verstoring werd echter opgemerkt als tijdelijk, met cybercriminelen geassocieerd met Lumma die de kracht lijken te herwinnen.
Hybride analyse heeft geen specifieke distributiemethoden onthuld die door aanvallers voor de Shuyal Stealer gebruikte. Historisch gezien zijn andere stealers verspreid via verschillende kanalen, waaronder posts op sociale media, phishing -campagnes en captcha -pagina’s. Infostalers gaan vaak vooraf aan grotere cyberaanvallen, zoals ransomware -implementaties of zakelijke e -mailcompromissen (BEC) -schema’s, die bredere bedrijfsbedreigingen vormen.
Gezien de inherente risico’s die gepaard gaan met infosteelmalware, beveelt hybride analyse aan dat cybersecurity -verdedigers de inzichten in hun blogpost over Shuyal gebruiken. Deze informatie is bedoeld om de ontwikkeling van effectievere detectie- en afweermechanismen te vergemakkelijken. De verstrekte inzichten bevatten een uitgebreide lijst met compromisindicatoren (IOC’s). Deze IOCS -detailbestanden die door de Stealer zijn gemaakt, processen die tijdens de werking zijn voortgebracht en het adres van de telegrambot die door de malware wordt gebruikt voor gegevensuitvoer.
