Um novo malware infosteralista, apelidado de “Shuyal” por pesquisadores em Análise híbridasurgiu, demonstrando recursos sofisticados em exfiltrar dados confidenciais de uma ampla variedade de navegadores, incluindo aqueles focados na privacidade. Esse malware também emprega táticas avançadas de reconhecimento e evasão do sistema.
Nomeado Shuyal, com base em identificadores exclusivos encontrados no caminho do PDB do executável, este ladrão de ladrinistas anteriormente indocumentado tem alvos de 19 navegadores diferentes. Isso inclui aplicações convencionais como cromo e borda, além de opções focadas na privacidade, como Tor, Brave, Opera, OperAgx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360browser, UR, Avast e Falko.
Além de roubar credenciais normalmente salvos nos navegadores, Shuyal realiza um extenso reconhecimento do sistema. Ele reúne informações detalhadas sobre unidades de disco, dispositivos de entrada e configurações de exibição. O malware também captura capturas de tela do sistema e conteúdo da área de transferência. Todos os dados coletados, incluindo tokens roubados da discórdia, são exfiltrados por meio de uma infraestrutura de bots de telegrama.
Shuyal integra técnicas agressivas de evasão de defesa. Após a implantação, ele imediatamente desativa o Windows Task Manager, modificando o valor do registro “DisableTaskmgr”. Ele também mantém furtividade operacional por meio de mecanismos de auto-delidação, usando um arquivo em lote para remover traços de sua atividade após concluir suas funções primárias.
Depois que o Shuyal é implantado, ele tenta acessar credenciais de login de seus navegadores direcionados. O malware gera vários processos para recuperar números de modelo e série de unidades de disco disponíveis, informações sobre teclados e ratos instalados e detalhes sobre monitores anexados. Ele também captura uma captura de tela da atividade atual e rouba os dados da área de transferência.
O ladrão utiliza o PowerShell para compactar dados coletados em uma pasta dentro do diretório “%temp%” antes da exfiltração através do bot de telegrama. O malware foi projetado para furtividade, excluindo arquivos recém -criados dos bancos de dados do navegador e todos os arquivos do diretório de tempo de execução que foram exfiltrados anteriormente. Shuyal também estabelece persistência, copiando -se para a pasta de inicialização.
O surgimento de Shuyal destaca o cenário de ameaças que muda continuamente, influenciado por fatores como operações de aplicação da lei. Por exemplo, uma operação do FBI em pode interromper a operação de ladrões de Lumma, embora seu ressurgimento indique a natureza adaptativa dos cibercriminosos.
Embora a análise híbrida não tenha divulgado os métodos de distribuição para Shuyal, outros ladrões foram divulgados por vários meios, incluindo postagens de mídia social, campanhas de phishing e páginas de captcha. O Malware Infosteal geralmente serve como precursor de ataques cibernéticos mais graves, como ransomware, compromisso de e -mail de negócios (BEC) e outras ameaças corporativas.
Dado o perigo significativo representado por malware de infostela, o pesquisador de análise híbrida Vlad Pasca recomenda que os defensores alavancem as idéias fornecidas em sua postagem no blog sobre Shuyal para desenvolver mecanismos de detecção e defesa mais eficazes. A postagem inclui uma lista abrangente de indicadores de compromisso (IOCs), como arquivos criados pelo ladrão, processos gerados e o endereço do bot de telegrama usado para exfiltração de dados.
Source: Como o novo malware shuyal desativa o gerente de tarefas para esconder
