Uusi infosting haittaohjelma, jota tutkijat nimittivät ”shual” osoitteessa Hybridi -analyysion syntynyt osoittaen hienostuneita kykyjä suodattamaan arkaluontoisia tietoja monista selaimista, mukaan lukien yksityisyyteen keskittyvät. Tämä haittaohjelma käyttää myös edistyneitä järjestelmän tiedustelu- ja kiertämistaktiikoita.
Suoritettavan PDB -polusta löydettyjen yksilöllisten tunnisteiden perusteella tämä aiemmin asiakirjattomat varastajakohteet ovat 19 eri selainta. Näihin kuuluvat valtavirran sovellukset, kuten kromi ja reuna, samoin kuin yksityisyyttä keskittyvät vaihtoehdot, kuten Tor, Brave, Opera, Operagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360Browser, Ur, Avast ja Falko.
Selaimien tyypillisesti tallennettujen valtakirjojen varastamisen lisäksi Shuyal suorittaa laajan järjestelmän tiedustelun. Se kerää yksityiskohtaisia tietoja levyasemista, syöttölaitteista ja näyttökokoonpanoista. Haittaohjelma kaappaa myös järjestelmän kuvakaappaukset ja leikepöydän sisältöä. Kaikki kerätyt tiedot, mukaan lukien varastetut discord -rahakkeet, on suodatettu Telegram Bot -infrastruktuurin kautta.
Shuyal integroi aggressiiviset puolustuksen kiertämistekniikat. Käyttöönottamisen jälkeen se poistaa välittömästi käytöstä Windows Task Manager -sovelluksen muokkaamalla ”DisAbleTaskMgr” -rekisteriarvoa. Se ylläpitää myös operatiivista varkautta itsekulutusmekanismien avulla, käyttämällä erätiedostoa sen toiminnan jäljen poistamiseen sen ensisijaisten toimintojen suorittamisen jälkeen.
Kun Shuyal on otettu käyttöön, se yrittää käyttää kirjautumistiedot kohderyhmäselainten perusteella. Haittaohjelma kutee useita prosesseja mallin ja sarjanumeroiden hakemiseksi käytettävissä olevien levyasemien, asennetuista näppäimistöistä ja hiiristä koskevista tiedoista sekä liitteenä olevista yksityiskohdista. Se kaappaa myös kuvakaappauksen nykyisestä toiminnasta ja varastaa leikepöydän tietoja.
Varastaja hyödyntää PowerShelliä puristaakseen kerättyjä tietoja kansioon ”%temp%” -hakemiston sisällä ennen purkamista Telegram -botin kautta. Haittaohjelma on suunniteltu varkain, poistamalla äskettäin luodut tiedostot selaintietokannoista ja kaikkien aikaisemmin suodattavien ajonaikaisen hakemiston tiedostoista. Shuyal vahvistaa myös pysyvyyden kopioimalla itsensä käynnistyskansioon.
Shuyalin syntyminen korostaa jatkuvasti muuttuvaa uhkamaisemaa, johon vaikuttavat tekijät, kuten lainvalvontatoimet. Esimerkiksi FBI -operaatio toukokuussa häiritsi Lumma -varastajaoperaatiota, vaikka sen nousu osoittaa verkkorikollisten adaptiivisen luonteen.
Vaikka hybridi -analyysi ei paljastanut Shuyal -jakelumenetelmiä, muita varastajia on levitetty eri keinoilla, mukaan lukien sosiaalisen median viestit, tietojenkalastelukampanjat ja captcha -sivut. Infostaaling haittaohjelma toimii usein vakavammille kyberhyökkäyksille, kuten ransomware, yritysviestin kompromissi (BEC) ja muille yritysuhkille.
Haittaohjelmien aiheuttama merkittävä vaara, hybridianalyysitutkija Vlad Pasca suosittelee, että puolustajat hyödyntävät blogiviestissä olevia näkemyksiä Shuyalista kehittääkseen tehokkaampia havaitsemis- ja puolustusmekanismeja. Viesti sisältää kattavan luettelon kompromissi -indikaattoreista (IOC), kuten varastajan luomat tiedostot, kutetut prosessit ja tietojen suodatukseen käytetyn Telegram -botin osoite.
Source: Kuinka uusi shual haittaohjelma poistaa tehtävähallinnan käytöstä piilottaa
