Pesquisadores de análise híbrida identificado “Shuyal”, um novo malware infosteal exfiltrando credenciais e dados do sistema de 19 navegadores, incluindo opções focadas na privacidade, enquanto emprega técnicas avançadas de reconhecimento e evasão do sistema.
Shuyal, nomeado de identificadores exclusivos no caminho do PDB de seu executável, tem como alvo uma ampla variedade de navegadores, abrangendo aplicativos convencionais como Chrome e Edge, juntamente com os navegadores orientados a privacidade como a Tor. Seus recursos se estendem além do roubo de credenciais, uma função comum entre os ladrões. O malware se envolve ativamente em reconhecimento do sistema, coletando meticulosamente informações referentes a unidades de disco, dispositivos de entrada e exibição de configurações. Além disso, o Shuyal captura capturas de tela do sistema e conteúdo da área de transferência. Esses dados coletados, incluindo quaisquer tokens de discórdia roubados, são subsequentemente exfiltrados usando uma infraestrutura de bot de telegrama.
O malware incorpora técnicas sofisticadas de evasão de defesa. Um método notável envolve a terminação automática e a subsequente desativação do Windows Task Manager. Isso é conseguido modificando o valor do registro “DisableTaskmgr”. Shuyal também mantém furtividade operacional por meio de mecanismos de auto-delidação. Depois de concluir suas funções primárias, o malware remove traços de sua atividade empregando um arquivo em lote. Esse processo garante pegada forense mínima no sistema comprometido.
Além de Chrome, Edge e Tor, a extensa lista de direcionamentos de Shuyal inclui CorajosoAssim, ÓperaOperagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360Browser, UR, Avast e Falko. A sequência operacional do malware envolve acessar e exfiltrar o navegador e as informações do sistema a um servidor controlado pelo atacante. A análise híbrida observa que Shuyal eleva as táticas de evasão por métodos incomumente furtivos.
Após a implantação, Shuyal desativa imediatamente o gerenciador de tarefas do Windows na máquina afetada. Depois disso, ele tenta acessar credenciais de login a partir de sua lista direcionada de navegadores. O malware gera vários processos projetados para recuperar detalhes específicos do hardware. Esses detalhes incluem o modelo e o número de série de unidades de disco disponíveis, informações sobre o teclado e o mouse instalados na máquina e detalhes abrangentes sobre o monitor anexado ao computador.
Simultaneamente, Shuyal captura uma captura de tela da tela ativa atual e rouba dados presentes na área de transferência do sistema. O ladrão utiliza o PowerShell para comprimir uma pasta localizada no diretório “%temp%”. Esta pasta compactada serve como um repositório para os dados que aguardam a exfiltração, que ocorre através de um bot de telegrama. O ladrão exibe furtividade excluindo arquivos recém -criados dos bancos de dados dos navegadores e todos os arquivos do diretório de tempo de execução que foram exfiltrados anteriormente. Para persistência, Shuyal se copia para a pasta de inicialização.
O cenário de malware infosteral é caracterizado por evolução contínua, influenciada por fatores como operações de aplicação da lei. Por exemplo, uma operação do FBI em pode interromper a operação de ladrilhos da Lumma. Essa interrupção, no entanto, foi observada como temporária, com os cibercriminosos associados ao lumma parecendo recuperar a força.
A análise híbrida não divulgou métodos de distribuição específicos empregados pelos atacantes para o ladrão Shuyal. Historicamente, outros ladrões foram divulgados através de vários canais, incluindo postagens de mídia social, campanhas de phishing e páginas de captcha. Os InfoSoSealers freqüentemente precedem cibertanhos mais significativos, como implantações de ransomware ou esquemas de compromisso por e -mail de negócios (BEC), apresentando ameaças mais amplas.
Dados os riscos inerentes associados aos malware infosteal, a análise híbrida recomenda que os defensores da segurança cibernética alavancem as idéias apresentadas em seu post sobre Shuyal. Esta informação visa facilitar o desenvolvimento de mecanismos de detecção e defesa mais eficazes. Os insights fornecidos incluem uma lista abrangente de indicadores de compromisso (IOCs). Esses IOCs detalham os arquivos criados pelo ladrão, processos gerados durante sua operação e o endereço do bot de telegrama utilizado pelo malware para a exfiltração de dados.
