精密Shuyal窃取程序瞄准19款浏览器，展示高级规避能力

一种新的信息窃取恶意软件正在传播，它能够从被认为比主流选项更注重隐私的浏览软件中窃取凭据和其他系统数据。

来源：Robert Augustin via Shutterstock

一种精密的新型信息窃取恶意软件已经闯入网络犯罪领域，能够从19种浏览器中窃取敏感数据，甚至包括那些被认为提供高级隐私保护的较冷门浏览器。

根据Hybrid Analysis研究人员最近的一篇博客文章，这种被称为"Shuyal"的窃取程序还展示了先进的系统侦察和规避策略。它不仅仅针对凭据信息，还会在加载到受害者机器上后建立持久性。

“基于可执行文件PDB路径中发现的唯一标识符命名为SHUYAL，这种先前未记录的窃取程序展示了全面的浏览器针对性，从19种不同浏览器抓取凭据，范围从Chrome和Edge等主流应用程序到Tor等注重隐私的选项，“Hybrid Analysis研究员Vlad Pasca在文章中写道。

除了像典型窃取程序那样窃取浏览器中保存的凭据外，Shuyal还使用系统侦察来收集有关磁盘驱动器、输入设备和显示配置的详细信息。此外，它还会捕获系统屏幕截图和剪贴板内容，通过Telegram机器人基础设施将这些数据与被窃取的Discord令牌一起外传。

该恶意软件还采用了Pasca所称的"激进防御规避技术”，包括自动终止和随后禁用Windows任务管理器。他表示，它还通过自删除机制保持操作隐蔽性，在完成其主要功能后使用批处理文件删除其活动痕迹。

相关：勒索软件行为者利用’ToolShell’ SharePoint漏洞

除了Chrome、Edge和Tor，Shuyal还针对不太知名的浏览器，包括Brave、Opera、OperaGx、Yandex、Vivaldi、Chromium、Waterfox、Epic、Comodo、Slimjet、Coccoc、Maxthon、360browser、Ur、Avast和Falko。

Shuyal运作方式

与其他窃取程序一样，Shuyal具有访问浏览器和系统信息然后将其外传到攻击者控制服务器的功能。根据Hybrid Analysis的说法，它还以异常隐蔽的方式提高了规避策略的水平。

一旦部署Shuyal，该恶意软件会立即通过修改"DisableTaskMgr"注册表值来禁用机器上的Windows任务管理器。然后它尝试从其目标浏览器列表中访问登录凭据。该恶意软件生成多个进程，允许Shuyal检索可用磁盘驱动器的型号和序列号、有关机器上安装的键盘和鼠标的信息，以及连接到计算机的显示器的详细信息。它还会截取当前活动的屏幕截图并窃取剪贴板数据。

相关：已修复的Ivanti漏洞六个月后仍在困扰日本组织

该窃取程序使用PowerShell压缩”%TEMP%“目录中的文件夹以保存最终被外传的数据，这是通过Telegram机器人进行的。“该恶意软件非常隐蔽，因为它会从浏览器数据库中删除新创建的文件，并从先前已外传数据的运行时目录中删除所有文件，“Pasca观察到。

Shuyal还通过自我复制到启动文件夹来建立持久性。

窃取程序领域的演变

虽然网络犯罪领域已经有许多窃取程序，但由于执法行动和其他因素，威胁格局在不断变化。五月份，FBI的行动破坏了强大的Lumma窃取程序操作，尽管其背后的网络犯罪分子似乎正在以同等实力重新组建。

Hybrid Analysis没有透露攻击者如何分发Shuyal窃取程序，尽管网络犯罪分子通过各种手段分发其他窃取程序，包括社交媒体帖子、网络钓鱼活动、验证码页面和其他方式。此外，窃取程序通常是勒索软件攻击、商业电子邮件入侵（BEC）和其他类型企业威胁的前奏。

相关：Lumma窃取程序回归且比以往更隐蔽

鉴于信息窃取恶意软件所代表的危险，Pasca建议防御者利用其关于Shuyal的博客文章中提供的见解来开发"更有效的检测和防御机制”。这些见解包括全面的入侵指标（IOCs）列表——包括窃取程序创建的文件——生成的进程，以及恶意软件用于外传数据的Telegram机器人的地址。

关于作者

Elizabeth Montalbano是一名自由撰稿人、记者和治疗写作导师，拥有超过25年的专业经验。她的专业领域包括技术、商业和文化。Elizabeth此前曾在凤凰城、旧金山和纽约市担任全职记者；她目前居住在葡萄牙西南海岸的一个村庄。在空闲时间，她喜欢冲浪、与狗一起徒步旅行、旅行、演奏音乐、瑜伽和烹饪。