Новое инфуционное вредоносное ПО, получившее название «Shuyal» исследователями в Гибридный анализпоявился, демонстрируя сложные возможности для экстрафильтрирующих конфиденциальных данных из широкого спектра браузеров, в том числе ориентированных на конфиденциальность. В этом вредоносном программе также используется расширенная система разведки и тактики уклонения.
Названный Shuyal, основанный на уникальных идентификаторах, найденных в PDB -пути его исполняемого файла. К ним относятся основные приложения, такие как Chrome и Edge, а также опции, ориентированные на конфиденциальность, такие как TOR, Brave, Opera, Operagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360browser, Ur, Avast и Falko.
Помимо кражи учетных данных, обычно сохраненных в браузерах, Shuyal выполняет обширную системную разведку. Он собирает подробную информацию о дисковых дисках, устройствах ввода и отображении конфигураций. Улвнативное ПО также фиксирует экрановые снимки системы и контент буфера обмена. Все собранные данные, в том числе украденные токены Discord, эксфильтрируются через инфраструктуру Telegram BOT.
Шуял интегрирует агрессивные методы уклонения защиты. После развертывания он сразу же отключает Windows Task Manager, изменяя значение реестра «DisableTaskMGR». Он также поддерживает эксплуатационную скрытность с помощью механизмов самооблачения, используя пакетный файл для удаления трассов своей активности после завершения его основных функций.
После того, как Shuyal будет развернут, он пытается получить доступ к учетным данным для входа из своих целевых браузеров. Улвнативное ПО вызывает несколько процессов для извлечения модели и серийных номеров доступных дисковых дисков, информации о установленных клавиатурах и мышах, а также детали, касающиеся прикрепленных мониторов. Он также фиксирует скриншот текущей активности и крадет данные об буфере обмена.
Участник использует PowerShell для сжатия собранных данных в папку в каталоге «%Temp%» перед эксфильтрацией через Telegram Bot. Улб -клад предназначена для стелса, удаляя вновь созданные файлы из баз данных браузеров и всех файлов из каталога времени выполнения, которые были ранее эксфильтрированы. Шуял также устанавливает настойчивость, копируя себя в папку стартапов.
Появление Shuyal подчеркивает постоянно изменяющуюся ландшафт угроз, под влиянием таких факторов, как правоохранительные операции. Например, операция ФБР в мае нарушила операцию по кражке Луммы, хотя ее возрождение указывает на адаптивную природу киберпреступников.
Хотя гибридный анализ не раскрывал методы распространения для Shuyal, другие кражи были распространены различными способами, включая посты в социальных сетях, фишинговые кампании и страницы Captcha. Инфуционные вредоносные программы часто служат предшественником для более тяжелых кибератак, таких как вымогатели, компромисс бизнес -электронной почты (BEC) и другие предприятия.
Учитывая значительную опасность, представленную в результате инфекционных вредоносных программ, исследователь гибридного анализа Влад Паска рекомендует защитникам использовать информацию, представленные в их блоге о Shuyal для разработки более эффективных механизмов обнаружения и обороны. Сообщение включает в себя комплексный список индикаторов компромисса (МОК), таких как файлы, созданные The Searer, процессы, порожденные, и адрес бота Telegram, используемого для эксфильтрации данных.
Source: Как новая вредоносная программа Shuyal отключает диспетчер задач, чтобы скрыть
