Hybridanalyseforscher identifiziert „Shuyal“, ein neues Malware-Exfiltrating-Anmeldeinformationen und Systemdaten von 19 Browsern, einschließlich Datenschutzoptionen, während sie fortschrittliche Systemaufklärungs- und Evasionstechniken eingesetzt werden.
Shuyal, benannt auf den PDB-Pfad seiner ausführbaren Ausführung, zielt auf eine breite Palette von Browsern ab und umfasst Mainstream-Anwendungen wie Chrome und Edge sowie privatschonisch orientierte Browser wie Tor. Seine Fähigkeiten erstrecken sich über den Diebstahl von Referential, eine gemeinsame Funktion unter Diebstahl. Die Malware betreibt aktiv die Systemaufklärung und sammelt sorgfältig Informationen zu Festplattenantrieben, Eingabegerätern und Anzeigenkonfigurationen. Darüber hinaus erfasst Shuyal System -Screenshots und Zwischenablage. Diese gesammelten Daten, einschließlich aller gestohlenen Discord -Token, werden anschließend unter Verwendung einer Telegramm -Bot -Infrastruktur pectiert.
Die Malware enthält hoch entwickelte Verteidigungsumhaltungstechniken. Eine bemerkenswerte Methode beinhaltet die automatische Beendigung und die anschließende Deaktivierung von Windows Task Manager. Dies wird erreicht, indem der Registrierungswert „Defabletaskmgr“ geändert wird. Shuyal unterhält auch operative Stealth durch Selbstdelettmechanismen. Nach Abschluss der Hauptfunktionen entfernt die Malware die Spuren ihrer Aktivitäten mit einer Stapeldatei. Dieser Prozess sorgt für einen minimalen forensischen Fußabdruck im kompromittierten System.
Neben Chrome, Edge und Tor, der umfangreichen Targeting -Liste von Shuyal, umfasst auch Shuyal MutigAnwesend OperOperagx, Yandex, Vivaldi, Chrom, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360Browser, Ur, Avast und Falko. Die Betriebssequenz der Malware beinhaltet den Zugriff auf und zum Exfiltrieren von Browser- und Systeminformationen auf einen von Angreifer kontrollierten Server. Hybridanalyse stellt fest, dass Shuyal die Ausweichentaktik durch ungewöhnlich heimliche Methoden erhöht.
Bei der Bereitstellung deaktiviert Shuyal Windows Task Manager sofort auf der betroffenen Maschine. Anschließend versucht es, aus seiner gezielten Liste der Browser auf Anmeldeinformationen zuzugreifen. Die Malware erzeugt mehrere Prozesse, mit denen bestimmte Hardwaredetails abgerufen werden sollen. Zu diesen Details gehören das Modell und die seriellen Anzahl der verfügbaren Festplatten, Informationen über die Tastatur und die auf der Maschine installierte Maus sowie umfassende Details zum am Computer angeschlossenen Monitor.
Gleichzeitig erfasst Shuyal einen Screenshot der aktuellen aktiven Anzeige und stiehlt Daten in der System -Zwischenablage. Der Stealer verwendet PowerShell, um einen Ordner im Verzeichnis „%temp%“ zu komprimieren. Dieser komprimierte Ordner dient als Repository für die Daten, die auf das Peeltration warten, die dann über einen Telegrammbot auftritt. Der Stealer zeigt Stealth, indem sie neu erstellte Dateien aus den Browsers -Datenbanken und alle Dateien aus dem zuvor pectierenden Laufzeitverzeichnis gelöscht haben. Für die Persistenz kopiert sich Shuyal in den Startordner.
Die Landschaft der Malware infosteal ist durch kontinuierliche Entwicklung gekennzeichnet, die von Faktoren wie Strafverfolgungsbehörden beeinflusst wird. Zum Beispiel störte ein FBI -Betrieb im Mai den Lumma Stealer -Betrieb. Diese Störung wurde jedoch als vorübergehend festgestellt, wobei Cyberkriminale damit verbunden waren, dass Lumma wieder an Stärke zurückgeht.
Die Hybridanalyse hat spezifische Verteilungsmethoden nicht offengelegt, die von Angreifern für den Shuyal Stealer angewendet wurden. In der Vergangenheit wurden andere Stealer über verschiedene Kanäle verbreitet, einschließlich Social -Media -Posts, Phishing -Kampagnen und Captcha -Seiten. InfoStaler gehen häufig bedeutendere Cyberangriffe vor, wie z.
Angesichts der inhärenten Risiken, die mit der Infosteal -Malware verbunden sind, empfiehlt die Hybridanalyse, dass Cybersicherheitsverteidiger die in ihrem Blog -Beitrag zu Shuyal vorgelegten Erkenntnisse nutzen. Diese Informationen sollen die Entwicklung effektiverer Erkennung und Abwehrmechanismen erleichtern. Die bereitgestellten Erkenntnisse enthalten eine umfassende Liste von Kompromissanzeigen (IOCs). Diese von The Stealer erstellten IOCs -Detaildateien, Prozesse, die während ihres Betriebs und die Adresse des von der Malware für Datenexfiltration verwendeten Telegrammbots hervorgebracht wurden.
