Ricercatori di analisi ibrida identificato “Shuyal”, un nuovo malware che esfiltrava le credenziali e i dati di sistema di 19 browser, comprese le opzioni incentrate sulla privacy, mentre utilizzano tecniche di ricognizione e evasione di sistema avanzate.
Shuyal, chiamato da identificatori univoci nel percorso PDB del suo eseguibile, prende di mira una vasta gamma di browser, che comprende applicazioni tradizionali come Chrome e Edge, insieme a browser orientati alla privacy come Tor. Le sue capacità si estendono oltre il furto di credenziali, una funzione comune tra i furti. Il malware si impegna attivamente nella ricognizione del sistema, raccogliendo meticolosamente informazioni relative alle unità disco, ai dispositivi di input e alle configurazioni di visualizzazione. Inoltre, Shuyal cattura schermate di sistema e contenuti degli appunti. Questi dati raccolti, inclusi eventuali token di discordia rubati, vengono successivamente esfiltrati utilizzando un’infrastruttura di bot di telegrammi.
Il malware incorpora sofisticate tecniche di evasione della difesa. Un metodo notevole prevede la terminazione automatica e il successivo disabilitazione di Windows Task Manager. Ciò si ottiene modificando il valore del registro “DisableTaskMgr”. Shuyal mantiene anche la furtività operativa attraverso meccanismi di auto-delezione. Dopo aver completato le sue funzioni primarie, il malware rimuove le tracce della sua attività impiegando un file batch. Questo processo garantisce un’impronta forense minima sul sistema compromesso.
Oltre a Chrome, Edge e Tor, l’elenco di targeting di Shuyal include Coraggioso, OperaOperagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360Browser, Ur, Avast e Falko. La sequenza operativa del malware prevede l’accesso e le informazioni sul browser e sul sistema esfiltranti a un server controllato dagli attaccanti. L’analisi ibrida osserva che Shuyal eleva le tattiche di evasione attraverso metodi insolitamente furti.
Al momento della distribuzione, Shuyal disabilita immediatamente Windows Task Manager sulla macchina interessata. In seguito, tenta di accedere alle credenziali di accesso dal suo elenco di browser mirato. Il malware genera più processi progettati per recuperare specifici dettagli hardware. Questi dettagli includono il modello e il numero di serie di unità disco disponibili, le informazioni relative alla tastiera e al mouse installate sulla macchina e dettagli completi sul monitor allegato al computer.
Allo stesso tempo, Shuyal cattura uno screenshot dell’attuale display attivo e ruba i dati presenti negli appunti di sistema. Il Rotar utilizza PowerShell per comprimere una cartella situata nella directory “%temp%”. Questa cartella compressa funge da repository per i dati in attesa di esfiltrazione, che si verifica quindi tramite un bot telegramma. Lo Stealer mostra Stealth eliminando i file appena creati dai database dei browser e tutti i file dalla directory di runtime precedentemente esfiltrati. Per la persistenza, Shuyal si copia nella cartella Startup.
Il panorama del malware a infesteal è caratterizzato da evoluzione continua, influenzato da fattori come le operazioni delle forze dell’ordine. Ad esempio, un’operazione dell’FBI a maggio ha interrotto l’operazione del furto di Lumma. Questa interruzione, tuttavia, è stata nota come temporanea, con i criminali informatici associati a Lumma che sembrano riprendere la forza.
L’analisi ibrida non ha rivelato metodi di distribuzione specifici impiegati dagli aggressori per il furto di Shuyal. Storicamente, altri furti sono stati diffusi attraverso vari canali, tra cui post sui social media, campagne di phishing e pagine CAPTCHA. Gli infostealer precedono spesso attacchi informatici più significativi, come distribuzioni di ransomware o schemi di compromesso e -mail aziendale (BEC), ponendo minacce aziendali più ampie.
Dati i rischi intrinseci associati al malware infestealing, l’analisi ibrida raccomanda ai difensori della sicurezza informatica di sfruttare le intuizioni presentate nel loro post sul blog su Shuyal. Queste informazioni hanno lo scopo di facilitare lo sviluppo di meccanismi di rilevamento e difesa più efficaci. Le approfondimenti forniti includono un elenco completo di indicatori di compromesso (IOC). Questi file di dettaglio IOCS creati dal furto, processi generati durante il suo funzionamento e l’indirizzo del bot Telegram utilizzato dal malware per l’esfiltrazione dei dati.
