Nowe złośliwe oprogramowanie infostealistyczne, nazwane przez naukowców „Shuyal” Analiza hybrydowapojawił się, wykazując wyrafinowane możliwości w exfiltrating wrażliwych danych z szerokiej gamy przeglądarek, w tym tych skoncentrowanych na prywatności. W tym złośliwym oprogramowaniu stosuje również zaawansowane taktyki rozpoznawcze i unikania systemu.
Nazwany Shuyal na podstawie unikalnych identyfikatorów znalezionych na ścieżce PDB jego wykonywacza, ten wcześniej nieudokumentowany kradzież jest skierowany do 19 różnych przeglądarek. Należą do nich aplikacje głównego nurtu, takie jak Chrom i Edge, a także opcje skoncentrowane na prywatności, takie jak Tor, Brave, Opera, Operagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360 Browser, UR, Avast i Falko.
Oprócz kradzieży poświadczeń zazwyczaj zapisanych w przeglądarkach, Shuyal wykonuje rozległy rozpoznanie systemu. Zbiera szczegółowe informacje o dyskach, urządzeniach wejściowych i konfiguracjach wyświetlania. Złośliwe oprogramowanie przechwytuje również zrzuty ekranu systemu i treść schowka. Wszystkie zebrane dane, w tym skradzione tokeny niezgody, są wykluczone za pomocą infrastruktury telegramowej.
Shuyal integruje agresywne techniki unikania obrony. Po wdrożeniu natychmiast wyłącza Windows Task Manager, modyfikując wartość rejestru „disableTaskMgr”. Utrzymuje również podejście operacyjne poprzez mechanizmy opłacania, używając pliku wsadowego w celu usunięcia śladów jego aktywności po wykonaniu podstawowych funkcji.
Po wdrożeniu Shuyal próbuje uzyskać dostęp do danych logowania ze swoich ukierunkowanych przeglądarek. Złośliwe oprogramowanie wywołuje wiele procesów w celu odzyskania modelu i numerów seryjnych dostępnych dysków, informacji o zainstalowanych klawiaturach i myszy oraz szczegółów dotyczących załączonych monitorów. Przechwytuje również zrzut ekranu bieżącej aktywności i kradnie dane schowka.
Kradzieżka wykorzystuje PowerShell do kompresji zebranych danych w folderze w katalogu „%temp%” przed exfiltracją za pośrednictwem bota telegramowego. Złośliwe oprogramowanie jest przeznaczone do ukrycia, usuwając nowo utworzone pliki z baz danych przeglądarki i wszystkich plików z katalogu czasu wykonywania wcześniej wykluczonych. Shuyal ustanawia również wytrwałość, kopiując się do folderu startupowego.
Pojawienie się Shuyal podkreśla stale zmieniający się krajobraz zagrożenia, pod wpływem czynników takich jak operacje organów ścigania. Na przykład operacja FBI w maju zakłóciła operację kradzieży Lumma, chociaż jej odrodzenie wskazuje na adaptacyjny charakter cyberprzestępców.
Podczas gdy analiza hybrydowa nie ujawniła metod dystrybucji Shuyal, inne kradzieże zostały rozpowszechnione za pomocą różnych środków, w tym postów mediów społecznościowych, kampanii phishingowych i stron Captcha. Złośliwe oprogramowanie Infostealing często służy jako prekursor ciężkich cyberataków, takich jak oprogramowanie ransomware, kompromis e -mail biznesowych (BEC) i inne zagrożenia dla przedsiębiorstw.
Biorąc pod uwagę znaczące niebezpieczeństwo, jakie stwarza infostealingowe złośliwe oprogramowanie, badacz analizy hybrydowej Vlad Pasca zaleca obrońcom wykorzystanie spostrzeżeń przedstawionych w swoim poście na blogu na temat Shuyal w celu opracowania bardziej skutecznych mechanizmów wykrywania i obronnych. Post zawiera kompleksową listę wskaźników kompromisu (MKOC), takich jak pliki utworzone przez kradzież, procesy, a adres bota telegramu używanego do wykładania danych.
Source: Jak nowe oprogramowanie shuyal wyłącza menedżera zadań do ukrycia
