混合分析研究人员 确定 “ Shuyal”,这是一种新型的InfoStal恶意软件渗透凭证和从19个浏览器的系统数据,包括以隐私为中心的选项,同时采用先进的系统侦察和逃避技术。
Shuyal以其可执行文件的PDB路径中的唯一标识符命名,针对各种各样的浏览器,其中包括诸如Chrome和Edge之类的主流应用程序,以及面向隐私的浏览器(如Tor)。它的功能超出了凭证盗窃,这是偷窃者中常见的功能。恶意软件可积极参与系统侦察,精心收集与磁盘驱动器,输入设备和显示配置有关的信息。此外,Shuyal捕获了系统屏幕截图和剪贴板内容。此收集的数据,包括任何被盗的不和谐令牌,随后使用电报机器人基础架构被淘汰。
恶意软件结合了复杂的防御逃避技术。一种显着的方法涉及Windows任务管理器的自动终止和随后的禁用。这是通过修改“ DisableTaskMGR”注册表值来实现的。 Shuyal还通过自我局限机制维持操作隐形。完成其主要功能后,恶意软件通过使用批处理文件来消除其活动的痕迹。此过程确保了受损系统上的最小法医足迹。
除了Chrome,Edge和Tor外,Shuyal的广泛目标清单还包括 勇敢的,,,, 歌剧,Operagx,Yandex,Vivaldi,Chromium,Waterfox,Epic,Comodo,Slimjet,Coccoc,Maxthon,360Browser,Ur,Avast和Falko。恶意软件的操作序列涉及访问和删除浏览器和系统信息到攻击者控制的服务器。混合分析指出,Shuyal通过异常隐秘的方法提高了逃避策略。
部署后,Shuyal立即在受影响的机器上禁用Windows任务管理器。此后,它尝试从目标的浏览器列表中访问登录凭据。恶意软件催生了旨在检索特定硬件详细信息的多个过程。这些详细信息包括可用磁盘驱动器的模型和序列号,有关机器上安装的键盘和鼠标的信息以及有关计算机附加的监视器的全面详细信息。
同时,Shuyal捕获了当前活动显示的屏幕截图,并窃取了系统剪贴板中存在的数据。偷窃器利用PowerShell压缩位于“%temp%”目录中的文件夹。该压缩文件夹是等待脱落的数据的存储库,然后通过电报机器人进行。通过从浏览器的数据库中删除新创建的文件以及以前被删除的运行时目录中的所有文件来展示隐身。为了持久,Shuyal将自己复制到启动文件夹。
不遗产恶意软件的景观的特征是连续进化,受执法操作等因素的影响。例如,联邦调查局(FBI)的操作可能破坏了卢玛(Lumma)的操作。然而,这种破坏是暂时的,与Lumma相关的网络犯罪分子似乎恢复了强度。
混合分析没有披露攻击者对Shuyal窃取者采用的特定分配方法。从历史上看,其他偷窃者已经通过各种渠道传播,包括社交媒体帖子,网络钓鱼活动和验证码页。 InfoStealers经常在更重要的网络攻击之前,例如勒索软件部署或业务电子邮件妥协(BEC)计划,构成更广泛的企业威胁。
鉴于与虚假恶意软件相关的固有风险,混合动力分析建议网络安全防御者利用其有关Shuyal的博客文章中提供的见解。该信息旨在促进开发更有效的检测和防御机制。提供的见解包括妥协指标(IOC)的全面列表。这些IOC详细信息由窃取器创建的文件,在操作过程中产生的过程以及恶意软件用于数据剥落的电报机器人的地址。
