Shuyal Stealer: усовершенствованный сборщик данных, атакующий 19 браузеров

Помимо стандартного извлечения сохраненных учетных данных, Shuyal Stealer проводит глубокий анализ системы. Он собирает детальную информацию о дисковых накопителях, устройствах ввода и конфигурациях дисплеев. Дополнительно программа перехватывает содержимое буфера обмена и делает скриншоты экрана, что позволяет злоумышленникам получить контекстное представление о деятельности пользователя. Все собранные данные, включая токены Discord, передаются через инфраструктуру Telegram-бота, что обеспечивает высокую эффективность и скрытность эксфильтрации.

Для оптимизации процесса кражи данных Shuyal Stealer использует PowerShell-скрипты. Сначала собранная информация сжимается в архив, который временно сохраняется в специальном каталоге. Затем архив передается через Telegram-бота, после чего вредоносная программа удаляет как сам архив, так и следы в браузерных базах данных. Это значительно затрудняет обнаружение и последующий форензик-анализ.

Одной из наиболее тревожных особенностей Shuyal является его способность скрывать следы деятельности после завершения эксфильтрации. Программа активно противодействует средствам мониторинга, в частности Windows Task Manager. При запуске вредоносное ПО сканирует активные процессы с целью обнаружения taskmgr.exe и принудительно завершает его работу с помощью метода TerminateProcess. Для обеспечения долгосрочного эффекта Shuyal вносит изменения в системный реестр Windows, устанавливая значение DisableTaskMgr равным 1, что блокирует запуск Диспетчера задач даже после перезагрузки системы.

Для обеспечения постоянного присутствия в системе Shuyal Stealer использует механизм копирования себя в папку автозагрузки Windows через API CopyFileA. Это гарантирует автоматический запуск вредоносной программы при каждой перезагрузке компьютера, позволяя ей оставаться активной в течение длительного времени без привлечения внимания пользователя.

Основной целью Shuyal Stealer является файл "Login Data" - база данных SQLite, в которой браузеры хранят учетные данные. В отличие от типичных сборщиков, Shuyal поддерживает извлечение данных из 19 браузеров, включая Chrome, Edge, Tor, Brave, Opera, Opera GX, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coc Coc, Maxthon, 360 Browser и Falkon. Для извлечения учетных данных программа выполняет целевой SQL-запрос, который извлекает URL-адреса, имена пользователей и зашифрованные пароли непосредственно из браузерной базы данных.

Shuyal также демонстрирует расширенные возможности сбора информации: перехватывает содержимое буфера обмена с использованием API функций OpenClipboard и GetClipboardData, сохраняя данные в файл clipboard.txt; создает скриншоты экрана через GdiplusStartup, BitBlt и GdipSaveImageToFile, сохраняя изображение как ss.png; извлекает аутентификационные токены из приложений Discord, Discord Canary и Discord PTB.

Все собранные данные временно сохраняются в специально созданной папке "runtime", после чего сжимаются в архив "runtime.zip" с помощью PowerShell. Для эксфильтрации информации используется заранее прописанный в коде токен Telegram-бота и идентификатор чата, через который архив передается злоумышленникам. После успешной передачи данных Shuyal активирует пакетный файл "util.bat", который удаляет следы вредоносной деятельности, что серьезно затрудняет последующий анализ инцидента.

Shuyal Stealer представляет серьезную угрозу для конфиденциальности пользователей и безопасности систем. Его способность извлекать чувствительные данные, включая пароли, историю браузера, содержимое буфера обмена и токены Discord, создает риски кражи личных данных, несанкционированного доступа к учетным записям и финансовых потерь. Использование механизмов обеспечения постоянства позволяет вредоносной программе длительное время оставаться в системе и непрерывно собирать информацию, что делает ее особенно опасной в руках киберпреступников.

URLs

• https://api.telegram.org/[bot]7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864

SHA256

• 8bbeafcc91a43936ae8a91de31795842cd93d2d8be3f72ce5c6ed27a08cdc092