ハイブリッド分析の研究者によって「shuyal」と呼ばれる新しいインフォシングマルウェアが登場し、プライバシーに焦点を当てたものを含む幅広いブラウザーからの敏感なデータを除去する際の洗練された機能を実証しています。このマルウェアは、高度なシステム偵察と回避戦術も採用しています。
実行可能ファイルのPDBパスで見つかった一意の識別子に基づいてShuyalと名付けられたこの以前は文書化されていないスティーラーは、19の異なるブラウザーをターゲットにしています。これらには、ChromeやEdgeなどの主流のアプリケーション、Tor、Brave、Opera、Operagx、Yandex、Vivaldi、Chromium、Waterfox、Epic、Comodo、Slimjet、Coccoc、Maxthon、360browser、UR、Avast、Falkoなどのプライバシー中心のオプションが含まれます。
通常、ブラウザで保存される資格情報を盗むだけでなく、Shuyalは広範なシステム偵察を実行します。ディスクドライブ、入力デバイス、および表示構成に関する詳細情報を収集します。マルウェアは、システムのスクリーンショットとクリップボードのコンテンツもキャプチャします。盗まれた不和トークンを含むすべての収集されたデータは、電報ボットインフラストラクチャを介して除外されます。
Shuyalは、積極的な防御回避技術を統合します。展開すると、「DisableTaskMGR」レジストリ値を変更することにより、すぐにWindowsタスクマネージャーが無効になります。また、バッチファイルを使用してその主要な機能を完了した後、そのアクティビティの痕跡を削除して、自己排除メカニズムを通じて運用ステルスを維持します。
Shuyalが展開されると、ターゲットブラウザからログイン資格情報にアクセスしようとします。マルウェアは、使用可能なディスクドライブのモデルとシリアル番号、インストールされたキーボードとマウスに関する情報、および添付のモニターに関する詳細を取得するための複数のプロセスを生み出します。また、現在のアクティビティのスクリーンショットをキャプチャし、クリップボードデータを盗みます。
StealerはPowerShellを使用して、Telegramボットを介して除去する前に、収集されたデータを「%TEMP%」ディレクトリ内のフォルダーに圧縮します。マルウェアはステルス用に設計されており、ブラウザーデータベースと以前に除外されたRuntimeディレクトリから新しく作成されたファイルを削除します。 Shuyalはまた、スタートアップフォルダーに自らをコピーすることにより、Persistenceを確立します。
Shuyalの出現は、法執行業務などの要因の影響を受けた継続的に変化する脅威の状況を強調しています。たとえば、5月のFBI操作はLumma Stealerの操作を混乱させましたが、その復活はサイバー犯罪の適応性を示しています。
ハイブリッド分析ではShuyalの分布方法は開示されていませんが、他のスティーラーは、ソーシャルメディアの投稿、フィッシングキャンペーン、Captchaページなど、さまざまな手段を通じて広められています。インフォーションマルウェアは、ランサムウェア、ビジネスメールの妥協(BEC)、その他のエンタープライズの脅威など、より深刻なサイバー攻撃の前兆としてしばしば機能します。
Infostealing Malwareによってもたらされる重大な危険を考えると、ハイブリッド分析研究者のVlad Pascaは、Shuyalに関するブログ投稿で提供された洞察を、より効果的な検出および防御メカニズムを開発することを推奨しています。この投稿には、スティーラーによって作成されたファイル、生成されたプロセス、およびデータ剥離に使用される電信ボットのアドレスなど、妥協の包括的な指標(IOC)の包括的なリストが含まれています。
