В последние дни специалисты по кибербезопасности обнаружили новый опасный стилер под названием SHUYAL, способный извлекать учетные данные из 19 различных веб-браузеров, включая Chrome, Brave, Edge, Opera, Yandex, Tor и другие. Этот вредоносный код отличается высокой степенью скрытности и использует сложные методы уклонения от обнаружения, включая автоматическое отключение Диспетчера задач Windows и механизмы самоудаления. Анализ, проведенный с помощью платформы Hybrid Analysis, выявил, что SHUYAL не только крадет логины и пароли, но и собирает системную информацию, делает скриншоты экрана, перехватывает содержимое буфера обмена и даже похищает токены Discord.
Описание
Согласно исследованию Hybrid Analysis, SHUYAL активно использует Telegram для эксфильтрации данных, отправляя украденную информацию через бота. Это делает его особенно опасным, поскольку передача данных через мессенджер затрудняет обнаружение атаки традиционными средствами защиты. Кроме того, стилер маскирует свою активность, удаляя следы присутствия в системе с помощью специального batch-файла после завершения своей работы.
Технический анализ показал, что SHUYAL выполняет комплексную разведку системы, собирая данные о дисках, клавиатуре, мониторе и других компонентах компьютера. Он также нацелен на браузеры с различными уровнями защиты, включая ориентированные на конфиденциальность, такие как Tor. Для извлечения паролей стилер использует SQL-запросы к локальным базам данных браузеров, а затем дешифрует их с помощью мастер-ключа, извлеченного из файла "Local State".
Одной из особенностей SHUYAL является его способность обходить защитные механизмы операционной системы. Например, он модифицирует реестр Windows, чтобы отключить Диспетчер задач, а также создает копию себя в папке автозагрузки для обеспечения персистентности. После сбора данных стилер упаковывает их в ZIP-архив и отправляет злоумышленникам через Telegram.
Эксперты отмечают, что подобные стилеры становятся все более распространенными в киберпреступной среде из-за их универсальности и высокой эффективности. SHUYAL представляет особую угрозу, поскольку сочетает в себе широкий охват целевых браузеров, продвинутые методы уклонения и удобный для злоумышленников способ передачи данных. Пользователям рекомендуется уделять внимание защите своих учетных записей, использовать двухфакторную аутентификацию и регулярно проверять систему на наличие подозрительной активности.
Пока что нет информации о массовых атаках с использованием SHUYAL, но его появление свидетельствует о растущей сложности вредоносного ПО, направленного на кражу конфиденциальных данных. Аналитики рекомендуют компаниям и частным пользователям обновлять программное обеспечение, использовать антивирусные решения с поведенческим анализом и избегать загрузки файлов из непроверенных источников.
Исследование SHUYAL является еще одним напоминанием о том, что злоумышленники постоянно совершенствуют свои инструменты, а борьба с киберугрозами требует комплексного подхода, включающего как технические меры защиты, так и повышение цифровой грамотности пользователей.
Индикаторы компрометации
URLs
- https://api.telegram.org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864
MD5
- faeb88275ab0c27dd496c539adad8f33
SHA1
- 87446260ad83c0c77f5a0c55459f91efb18328a1
SHA256
- 810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
