Badacze analizy hybrydowej zidentyfikowane „Shuyal”, nowe infostealingowe złośliwe oprogramowanie ekologiczne i dane systemowe z 19 przeglądarek, w tym opcje skoncentrowane na prywatności, jednocześnie stosując zaawansowane techniki rozpoznawcze i unikania systemu.
Shuyal, nazwany od unikalnych identyfikatorów na ścieżce PDB swojego wykonywalnego, celuje w szeroki wachlarz przeglądarków, obejmując aplikacje głównego nurtu, takie jak Chrome i Edge, wraz z przeglądarkami zorientowanymi na prywatność, takim jak Tor. Jego możliwości wykraczają poza kradzież poświadczeń, co jest wspólną funkcją wśród kradzieży. Złośliwe oprogramowanie aktywnie angażuje się w rozpoznanie systemu, skrupulatnie gromadząc informacje dotyczące dysków, urządzeń wejściowych i konfiguracji wyświetlania. Ponadto Shuyal przechwytuje zrzuty ekranu systemu i zawartość schowka. Zebrane dane, w tym wszelkie skradzione tokeny niezgody, są następnie wykluczone przy użyciu infrastruktury telegramowej.
Złośliwe oprogramowanie obejmuje wyrafinowane techniki unikania obrony. Godna uwagi metoda obejmuje automatyczne zakończenie, a następnie wyłączenie menedżera zadań Windows. Osiąga się to poprzez modyfikację wartości rejestru „disabletaskmgr”. Shuyal utrzymuje również ukrycie operacyjne poprzez mechanizmy samostosowania. Po wykonaniu podstawowych funkcji złośliwe oprogramowanie usuwa ślady swojej aktywności, stosując plik wsadowy. Proces ten zapewnia minimalny ślad kryminalistyczny w zagrożonym systemie.
Oprócz Chrome, Edge i Tor, obszerna lista celów Shuyal obejmuje OdważnyW OperaOperagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360Browser, UR, Avast i Falko. Sekwencja operacyjna złośliwego oprogramowania polega na dostępu do przeglądarki i exfiltracji informacji i informacji systemu do serwera kontrolowanego przez atakującego. Analiza hybrydowa zauważa, że Shuyal podnosi taktykę unikania za pomocą niezwykle ukrytych metod.
Po wdrożeniu Shuyal natychmiast wyłącza menedżera zadań Windows na dotkniętym komputerze. Następnie próbuje uzyskać dostęp do danych logowania z docelowej listy przeglądarek. Złośliwe oprogramowanie wywołuje wiele procesów zaprojektowanych w celu pobrania określonych szczegółów sprzętowych. Szczegóły te obejmują model i numery seryjne dostępnych dysków, informacje dotyczące klawiatury i myszy zainstalowanej na komputerze oraz kompleksowe szczegóły dotyczące monitora dołączonego do komputera.
Jednocześnie Shuyal przechwytuje zrzut ekranu obecnego aktywnego wyświetlacza i kradnie dane obecne w schowku systemowym. Kradzieżka wykorzystuje PowerShell do kompresji folderu zlokalizowanego w katalogu „%temp%”. Ten sprężony folder służy jako repozytorium danych oczekujących na exfiltrację, która następnie występuje za pośrednictwem bota telegramowego. Crader wykazuje Stealth, usuwając nowo utworzone pliki z baz danych przeglądarek i wszystkich plików z katalogu czasu wykonawczego, które zostały wcześniej wykute. W celu wytrwałości Shuyal kopiuje się do folderu startupowego.
Krajobraz złośliwego oprogramowania infostealistycznego charakteryzuje się ciągłą ewolucją, pod wpływem czynników takich jak operacje organów ścigania. Na przykład operacja FBI w maju zakłóciła operację kradzieży Lumma. Zakłócenie to było jednak tymczasowe, a cyberprzestępcy związane z Lummą wydają się odzyskać siłę.
Analiza hybrydowa nie ujawniła konkretnych metod dystrybucji stosowanych przez atakujących dla Shuyal Crader. Historycznie inne kradzieże zostały rozpowszechnione za pośrednictwem różnych kanałów, w tym postów w mediach społecznościowych, kampanii phishingowych i stron Captcha. Infostealerzy często poprzedzają bardziej znaczące cyberataki, takie jak programy wdrożenia ransomware lub programy e -mail biznesowych (BEC), stanowiące szersze zagrożenia dla przedsiębiorstw.
Biorąc pod uwagę nieodłączne ryzyko związane z złośliwym oprogramowaniem infostealistycznym, analiza hybrydowa zaleca, aby obrońcy bezpieczeństwa cybernetycznego wykorzystały spostrzeżenia przedstawione w swoim poście na blogu dotyczące Shuyal. Informacje te mają na celu ułatwienie rozwoju bardziej skutecznego wykrywania i mechanizmów obronnych. Dostarczone spostrzeżenia obejmują kompleksową listę wskaźników kompromisu (MKOC). Te pliki szczegółów MKOC utworzone przez kradzież, procesy powstały podczas jego działania, a adres bota telegramu wykorzystywanego przez złośliwe oprogramowanie do wykładania danych.
