Investigadores de análisis híbrido identificado «Shuyal», una nueva credenciales de exfiltración de malware de infestación de infantilios y datos del sistema de 19 navegadores, incluidas las opciones centradas en la privacidad, al tiempo que emplea técnicas avanzadas de reconocimiento y evasión del sistema.
Shuyal, nombrado de identificadores únicos en la ruta PDB de su ejecutable, se dirige a una amplia gama de navegadores, que abarca aplicaciones convencionales como Chrome y Edge, junto con navegadores orientados a la privacidad como Tor. Sus capacidades se extienden más allá del robo de credenciales, una función común entre los robos. El malware se involucra activamente en el reconocimiento del sistema, recopilando meticulosamente información relacionada con unidades de disco, dispositivos de entrada y configuraciones de visualización. Además, Shuyal captura capturas de pantalla del sistema y contenido de portapapeles. Estos datos recopilados, incluidos los tokens de discordia robados, se exfiltran posteriormente utilizando una infraestructura BOT de telegrama.
El malware incorpora técnicas sofisticadas de evasión de defensa. Un método notable implica la terminación automática y la posterior discapacidad del Administrador de tareas de Windows. Esto se logra modificando el valor del registro «DisableTaskMGR». Shuyal también mantiene el sigilo operativo a través de mecanismos de autoselegación. Después de completar sus funciones principales, el malware elimina los rastros de su actividad al emplear un archivo por lotes. Este proceso garantiza una huella forense mínima en el sistema comprometido.
Además de Chrome, Edge y Tor, la extensa lista de orientación de Shuyal incluye Corajudo, ÓperaOperagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360 Browser, Ur, Avast y Falko. La secuencia operativa del malware implica acceder y exfiltrar la información del navegador y el sistema a un servidor controlado por el atacante. El análisis híbrido señala que Shuyal eleva las tácticas de evasión a través de métodos inusualmente sigilosos.
Tras la implementación, Shuyal deshabilita inmediatamente el Administrador de tareas de Windows en la máquina afectada. Después de esto, intenta acceder a las credenciales de inicio de sesión desde su lista específica de navegadores. El malware genera múltiples procesos diseñados para recuperar detalles de hardware específicos. Estos detalles incluyen el modelo y los números de serie de las unidades de disco disponibles, la información sobre el teclado y el mouse instalados en la máquina y detalles completos sobre el monitor conectado a la computadora.
Al mismo tiempo, Shuyal captura una captura de pantalla de la pantalla activa actual y roba datos presentes en el portapapeles del sistema. El Stealer utiliza PowerShell para comprimir una carpeta ubicada en el directorio «%TEMP%». Esta carpeta comprimida sirve como un repositorio para los datos que esperan la exfiltración, que luego ocurre a través de un bot de telegrama. El robador exhibe sigilo al eliminar los archivos recién creados de las bases de datos de los navegadores y todos los archivos del directorio de tiempo de ejecución que se exfiltraron previamente. Para persistencia, Shuyal se copia en la carpeta de inicio.
El panorama del malware de infestación se caracteriza por la evolución continua, influenciada por factores como las operaciones de aplicación de la ley. Por ejemplo, una operación del FBI en mayo interrumpió la operación de Lumma Stealer. Sin embargo, se observó que esta interrupción era temporal, con cibercriminales asociados con Lumma que parecen recuperar la fuerza.
El análisis híbrido no reveló métodos de distribución específicos empleados por los atacantes para el robador de Shuyal. Históricamente, otros robadores se han difundido a través de varios canales, incluidas las publicaciones en las redes sociales, las campañas de phishing y las páginas de Captcha. Los infantes de infantes con frecuencia preceden a los ataques cibernéticos más significativos, como implementaciones de ransomware o esquemas de compromiso de correo electrónico comercial (BEC), planteando amenazas empresariales más amplias.
Dados los riesgos inherentes asociados con el malware de infestación, el análisis híbrido recomienda que los defensores de ciberseguridad aprovechen las ideas presentadas en su publicación de blog sobre Shuyal. Esta información está destinada a facilitar el desarrollo de mecanismos de detección y defensa más efectivos. Las ideas proporcionadas incluyen una lista completa de indicadores de compromiso (COI). Estos archivos de detalles de los COI creados por el robador, procesos generados durante su operación y la dirección del bot de telegrama utilizado por el malware para la exfiltración de datos.
