하이브리드 분석의 연구원들에 의해“shuyal”이라고 불리는 새로운 인포비탈 맬웨어가 등장하여 개인 정보 보호에 중점을 둔 광범위한 브라우저에서 민감한 데이터를 추출하는 정교한 기능을 보여줍니다. 이 맬웨어는 또한 고급 시스템 정찰 및 회피 전술을 사용합니다.
실행 파일의 PDB 경로에서 발견 된 고유 식별자를 기반으로 한 Shuyal이라는 이름으로 이전에 문서화되지 않은 스틸러는 19 개의 다른 브라우저를 대상으로합니다. 여기에는 Chrome 및 Edge와 같은 주류 응용 프로그램뿐만 아니라 Tor, Brave, Opera, Operagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360browser, Ur, Avast 및 Falko와 같은 개인 정보 보호 옵션이 포함됩니다.
Shuyal은 일반적으로 브라우저에 저장되는 자격 증명을 훔치는 것 외에도 광범위한 시스템 정찰을 수행합니다. 디스크 드라이브, 입력 장치 및 디스플레이 구성에 대한 자세한 정보를 수집합니다. 맬웨어는 또한 시스템 스크린 샷 및 클립 보드 컨텐츠를 캡처합니다. 도난당한 불화 토큰을 포함한 모든 수집 된 데이터는 Telegram BOT 인프라를 통해 배정됩니다.
Shuyal은 공격적인 방어 회피 기술을 통합합니다. 배포시 “DisableTaskMgr”레지스트리 값을 수정하여 즉시 Windows Task Manager를 비활성화합니다. 또한 자체 삭제 메커니즘을 통해 운영 스텔스를 유지하고 배치 파일을 사용하여 기본 기능을 완료 한 후 활동의 흔적을 제거합니다.
Shuyal이 배포되면 대상 브라우저에서 로그인 자격 증명에 액세스하려고합니다. 맬웨어는 여러 프로세스를 스폰하여 사용 가능한 디스크 드라이브의 모델 및 일련 번호, 설치된 키보드 및 마우스에 대한 정보 및 첨부 된 모니터에 대한 세부 사항을 검색합니다. 또한 현재 활동의 스크린 샷을 캡처하고 클립 보드 데이터를 훔칩니다.
스틸러는 PowerShell을 사용하여 수집 된 데이터를 Telegram Bot을 통해 여과하기 전에 “%temp%”디렉토리 내의 폴더로 압축합니다. 맬웨어는 스텔스 용으로 설계되어 브라우저 데이터베이스에서 새로 만든 파일을 삭제하고 이전에 추방 된 런타임 디렉토리의 모든 파일을 삭제했습니다. Shuyal은 또한 시작 폴더에 자신을 복사하여 지속성을 설정합니다.
Shuyal의 출현은 법 집행 작전과 같은 요인에 의해 영향을받는 지속적으로 변화하는 위협 환경을 강조합니다. 예를 들어, FBI 작업은 Lumma Stealer 작전을 중단했지만, 부활은 사이버 범죄자의 적응 특성을 나타냅니다.
하이브리드 분석은 Shuyal의 분포 방법을 공개하지 않았지만 소셜 미디어 게시물, 피싱 캠페인 및 Captcha 페이지를 포함한 다양한 수단을 통해 다른 도둑질자가 전파되었습니다. Infostealing Malware는 종종 랜섬웨어, 비즈니스 이메일 타협 (BEC) 및 기타 엔터프라이즈 위협과 같은보다 심각한 사이버 공격의 선구자 역할을합니다.
하이브리드 분석 연구원 인 VLAD PASCA는 인포팅 맬웨어로 인한 상당한 위험을 감안할 때 수비수가 Shuyal에 대한 블로그 게시물에 제공된 통찰력을 활용하여보다 효과적인 탐지 및 방어 메커니즘을 개발할 것을 권장합니다. 이 게시물에는 Stealer에 의해 생성 된 파일, 스폰 된 프로세스 및 데이터 추출에 사용되는 Telegram Bot의 주소와 같은 포괄적 인 IOC (Indicator of Dynge) (IOC) 목록이 포함되어 있습니다.
