高级Shuyal窃密木马精准攻击19款浏览器，展示先进规避技术

一种新的信息窃取恶意软件正在流传，它能够从被认为比主流选项更注重隐私的浏览软件中窃取凭据和其他系统数据。

根据Hybrid Analysis研究人员最近的一篇博客文章，这种被称为"Shuyal"的窃密软件还展示了先进的系统侦察和规避策略。它不仅仅针对凭据，还会在加载到受害者机器上后建立持久性。

“基于可执行文件PDB路径中发现的唯一标识符命名为SHUYAL，这种先前未记录的窃密软件展示了全面的浏览器目标定位，从19种不同的浏览器中抓取凭据，范围从Chrome和Edge等主流应用程序到Tor等注重隐私的选项，“Hybrid Analysis研究员Vlad Pasca在文章中写道。

除了像典型窃密软件一样窃取浏览器中保存的凭据外，Shuyal还使用系统侦察来收集有关磁盘驱动器、输入设备和显示配置的详细信息。此外，它还会捕获系统屏幕截图和剪贴板内容，通过Telegram机器人基础设施将这些数据与被窃取的Discord令牌一起外泄。

该恶意软件还采用了Pasca所称的"激进防御规避技术”，包括自动终止和随后禁用Windows任务管理器。他表示，它还通过自删除机制保持操作隐蔽，在完成其主要功能后使用批处理文件删除其活动痕迹。

除了Chrome、Edge和Tor之外，Shuyal还针对不太知名的浏览器，包括Brave、Opera、OperaGx、Yandex、Vivaldi、Chromium、Waterfox、Epic、Comodo、Slimjet、Coccoc、Maxthon、360browser、Ur、Avast和Falko。

Shuyal的运行方式

与其他窃密软件一样，Shuyal具有访问浏览器和系统信息然后将其外泄到攻击者控制的服务器的功能。根据Hybrid Analysis的说法，它还以异常隐蔽的方式提高了规避策略的水平。

一旦部署Shuyal，该恶意软件会立即通过修改"DisableTaskMgr"注册表值来禁用机器上的Windows任务管理器。然后它尝试从上述目标浏览器列表中访问登录凭据。该恶意软件会生成多个进程，允许Shuyal检索可用磁盘驱动器的型号和序列号、安装在机器上的键盘和鼠标信息，以及连接到计算机的显示器的详细信息。它还会截取当前活动的屏幕截图并窃取剪贴板数据。

窃密软件使用PowerShell压缩”%TEMP%“目录中的一个文件夹来保存最终将被外泄的数据，这是通过Telegram机器人进行的。“该恶意软件非常隐蔽，因为它会删除浏览器数据库中新创建的文件以及先前已外泄的运行时目录中的所有文件，“Pasca观察到。

Shuyal还通过自我复制到启动文件夹来建立持久性。

窃密软件格局的演变

虽然网络犯罪领域已经存在许多窃密软件，但由于执法行动和其他因素，威胁格局不断变化。5月，FBI的行动破坏了强大的Lumma窃密软件操作，尽管其背后的网络犯罪分子似乎正在以同等实力重新组织。

Hybrid Analysis没有透露攻击者如何分发Shuyal窃密软件，尽管网络犯罪分子通过各种方式分发其他窃密软件，包括社交媒体帖子、网络钓鱼活动、验证码页面和其他方式。此外，窃密软件通常是勒索软件攻击、商业电子邮件入侵（BEC）和其他类型企业威胁的前奏。

鉴于信息窃取恶意软件所代表的危险，Pasca建议防御者利用其关于Shuyal的博客文章中提供的见解来开发"更有效的检测和防御机制”。这些见解包括全面的妥协指标（IOCs）列表——包括窃密软件创建的文件——生成的进程，以及恶意软件用于外泄数据的Telegram机器人的地址。

关于作者 Elizabeth Montalbano是一名自由撰稿人、记者和治疗性写作导师，拥有超过25年的专业经验。她的专业领域包括技术、商业和文化。Elizabeth此前曾在凤凰城、旧金山和纽约市担任全职记者；她目前居住在葡萄牙西南海岸的一个村庄。在空闲时间，她喜欢冲浪、与狗一起徒步旅行、旅行、演奏音乐、瑜伽和烹饪。