Chercheurs à analyse hybride identifié «Shuyyl», une nouvelle infostabilité des logiciels malveillants exfiltrant les informations d’identification et des données système de 19 navigateurs, y compris des options axées sur la confidentialité, tout en utilisant des techniques avancées de reconnaissance du système et d’évasion.
Shuyy, nommé à partir d’identifiants uniques dans le chemin PDB de son exécutable, cible un large éventail de navigateurs, englobant des applications grand public telles que Chrome et Edge, aux côtés de navigateurs axés sur la confidentialité comme Tor. Ses capacités s’étendent au-delà du vol d’identification, une fonction commune parmi les voleurs. Le logiciel malveillant s’engage activement dans la reconnaissance du système, recueillant méticuleusement des informations relatives aux lecteurs de disque, aux dispositifs d’entrée et aux configurations d’affichage. De plus, Shual capture les captures d’écran du système et le contenu du presse-papiers. Ces données collectées, y compris tous les jetons de discorde volées, sont ensuite exfiltrés à l’aide d’une infrastructure de bot télégramme.
Le malware intègre des techniques d’évasion de défense sophistiquées. Une méthode notable implique la terminaison automatique et la désactivation ultérieure du gestionnaire de tâches Windows. Ceci est réalisé en modifiant la valeur de registre «DisableTaskMGR». Shuyyl maintient également la furtivité opérationnelle grâce à des mécanismes d’auto-suppression. Après avoir rempli ses fonctions principales, le malware supprime les traces de son activité en utilisant un fichier batch. Ce processus garantit une empreinte médico-légale minimale sur le système compromis.
En plus de Chrome, Edge et Tor, la vaste liste de ciblage de Shuys comprend Courageux, OpéraOperagx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360Browser, Ur, Avast et Falko. La séquence opérationnelle du malware consiste à accéder et à exfiltrant les informations du navigateur et du système à un serveur contrôlé par l’attaquant. L’analyse hybride note que Shuyal élève les tactiques d’évasion à travers des méthodes inhabituellement furtives.
Lors du déploiement, Shual désactive immédiatement le gestionnaire de tâches Windows sur la machine affectée. Suite à cela, il tente d’accéder aux informations d’identification de connexion à partir de sa liste ciblée de navigateurs. Le malware engendre plusieurs processus conçus pour récupérer des détails matériels spécifiques. Ces détails incluent le modèle et les numéros de série des lecteurs de disque disponibles, les informations concernant le clavier et la souris installées sur la machine et les détails complets sur le moniteur attaché à l’ordinateur.
Parallèlement, Shual capture une capture d’écran de l’affichage actif actuel et vole les données présentes dans le presse-papiers système. Le voleur utilise PowerShell pour comprimer un dossier situé dans le répertoire «% temp%». Ce dossier compressé sert de référentiel pour les données attendant l’exfiltration, qui se produit ensuite via un bot télégramme. Le voleur présente une furtivité en supprimant les fichiers nouvellement créés à partir des bases de données des navigateurs et de tous les fichiers du répertoire d’exécution qui étaient auparavant exfiltrés. Pour la persévérance, Shuyal se copie dans le dossier de démarrage.
Le paysage des logiciels malveillants infostabilité se caractérise par une évolution continue, influencée par des facteurs tels que les opérations d’application de la loi. Par exemple, une opération du FBI dans peut perturber l’opération de voleur Lumma. Cette perturbation, cependant, a été notée temporaire, les cybercriminels associés à Lumma semblant reprendre la force.
L’analyse hybride n’a pas divulgué de méthodes de distribution spécifiques utilisées par les attaquants pour le voleur Shuys. Historiquement, d’autres voleurs ont été diffusés par divers canaux, notamment les publications sur les réseaux sociaux, les campagnes de phishing et les pages CAPTCHA. Les infostelleurs précèdent fréquemment des cyberattaques plus importantes, telles que les déploiements de ransomwares ou les schémas de compromis par e-mail (BEC), posant des menaces d’entreprise plus larges.
Compte tenu des risques inhérents associés à l’infostabilité des logiciels malveillants, une analyse hybride recommande que les défenseurs de cybersécurité tirent parti des idées présentées dans leur article de blog concernant Shual. Ces informations sont destinées à faciliter le développement de mécanismes de détection et de défense plus efficaces. Les informations fournies comprennent une liste complète des indicateurs de compromis (IOC). Ces fichiers de détail IOC créés par le voleur, les processus engendrés pendant son fonctionnement et l’adresse du bot télégramme utilisé par le malware pour l’exfiltration des données.
