Een nieuwe infostele malware, genaamd “Shuyal” door onderzoekers bij Hybride analyseis naar voren gekomen en vertoont geavanceerde mogelijkheden in exfiltrerende gevoelige gegevens van een breed scala aan browsers, waaronder die gericht op privacy. Deze malware maakt ook gebruik van verkennings- en ontwijkingstactieken voor geavanceerde systeem.
Met de naam Shuyal gebaseerd op unieke identificatiegegevens gevonden in het PDB -pad van zijn uitvoerbare bestand, richt deze voorheen niet -papieren Stealer zich op 19 verschillende browsers. Deze omvatten reguliere toepassingen zoals Chrome en Edge, evenals op privacy gerichte opties zoals Tor, Brave, Opera, Operagx, Yandex, Vivaldi, Chromium, WaterFox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360browser, Ur, Aval en Falko.
Naast het stelen van referenties die meestal in browsers worden opgeslagen, voert Shuyal uitgebreide systeemverkenning uit. Het verzamelt gedetailleerde informatie over schijfaandrijvingen, invoerapparaten en weergaveconfiguraties. De malware legt ook screenshots van systeem en klembordinhoud vast. Alle verzamelde gegevens, inclusief gestolen discord -tokens, worden geëxfiltreerd via een telegram -botinfrastructuur.
Shuyal integreert agressieve technieken voor het ontdekken van defensie. Bij de implementatie schakelt het Windows Task Manager onmiddellijk uit door de waarde “DisableTaskMgr” te wijzigen. Het handhaaft ook operationele stealth via zelf-deletiemechanismen, met behulp van een batchbestand om sporen van zijn activiteit te verwijderen na het voltooien van zijn primaire functies.
Zodra Shuyal is ingezet, probeert het toegang te krijgen tot inloggegevens van zijn beoogde browsers. De malware bevat meerdere processen om het model en serienummers van beschikbare schijfstations, informatie over geïnstalleerde toetsenborden en muizen op te halen en details met betrekking tot bijgevoegde monitoren. Het legt ook een screenshot van huidige activiteit vast en steelt klembordgegevens.
De Stealer gebruikt PowerShell om verzamelde gegevens te comprimeren in een map in de directory “%temp%” vóór exfiltratie via de Telegram -bot. De malware is ontworpen voor stealth, het verwijderen van nieuw gemaakte bestanden uit browserdatabases en alle bestanden uit de runtime -directory die eerder waren geëxfiltreerd. Shuyal vestigt ook doorzettingsvermogen door zichzelf naar de opstartmap te kopiëren.
De opkomst van Shuyal benadrukt het continu verschuivende dreigingslandschap, beïnvloed door factoren zoals wetshandhavingsoperaties. Een FBI -operatie in kan bijvoorbeeld de operatie van Lumma Stealer verstoord, hoewel de heropleving ervan de adaptieve aard van cybercriminelen aangeeft.
Hoewel hybride analyse de distributiemethoden voor Shuyal niet heeft bekendgemaakt, zijn andere stealers op verschillende manieren verspreid, waaronder posts op sociale media, phishingcampagnes en captcha -pagina’s. Infostele malware dient vaak als een voorloper van ernstiger cyberaanvallen, zoals ransomware, zakelijke e -mailcompromis (BEC) en andere bedrijfsdreigingen.
Gezien het significante gevaar van infosteelmalware, beveelt hybride analyse -onderzoeker Vlad Pasca aan dat verdedigers de inzichten in hun blogpost over Shuyal over Shuyal gebruiken om effectievere detectie- en afweermechanismen te ontwikkelen. Het bericht bevat een uitgebreide lijst met compromisindicatoren (IOC’s), zoals bestanden gemaakt door de Stealer, verdeeld processen en het adres van de Telegram -bot die wordt gebruikt voor gegevensuitbruik.
Source: Hoe de nieuwe Shuyal Malware Task Manager uitschakelt om zich te verbergen
