SHUYAL: новая угроза кражи данных из 19 популярных браузеров
Источник: hybrid-analysis.blogspot.com
Эксперты по кибербезопасности провели детальный анализ новой угрозы — усовершенствованного средства кражи данных, известного как SHUYAL. Это вредоносное ПО способно похищать учетные данные пользователей из внушительного списка из 19 различных веб-браузеров, включая широко используемые Chrome, Brave, Edge, а также ориентированные на приватность Tor.
Основные характеристики SHUYAL
SHUYAL выделяется среди современных вредоносных программ по нескольким ключевым признакам:
- Широкий спектр атакуемых браузеров: от мейнстрим-браузеров до приватных решений.
- Современные методы уклонения: отключение диспетчера задач Windows во время работы, сложные механизмы маскировки.
- Возможность самоудаления: уничтожение следов своей деятельности, включая удаление записей из баз данных браузера и всех созданных файлов.
Функционал и возможности
SHUYAL способен не только похищать учетные данные, но и проводить комплексную системную разведку. Вредонос собирает разнообразную системную информацию, включая:
- модели дисководов и их серийные номера;
- данные о периферийных устройствах ввода;
- конфигурации мониторов;
- пользовательскую информацию, включая токены Discord, скриншоты экрана и содержимое буфера обмена.
Для передачи украденных данных SHUYAL использует Telegram-бота, что позволяет злоумышленникам эффективно извлекать информацию с зараженного устройства.
Технические особенности реализации
Вредоносное ПО применяет множество технических механизмов, обеспечивающих эффективность и скрытность работы:
- параллельный запуск нескольких процессов для одновременного сбора и передачи данных;
- механизмы обеспечения выживания, включая копирование исполняемых файлов в папку автозагрузки пользователя;
- использование специфических файлов для извлечения регистрационной информации из браузеров — например, регистрационные данные Chrome переименовываются в chrome_Data.db для упрощения обработки;
- ведение файлов журнала с детальным описанием операций и таргетных приложений;
- широкое использование API для создания скриншотов, архивирования данных и др.;
- активное применение ключевых команд PowerShell, в частности для сжатия каталога runtime, что позволяет упаковывать украденные данные в архивы для отправки.
Заключение
SHUYAL представляет собой новую веху в развитии вредоносного ПО для кражи данных — благодаря мультимодальному сбору информации, сложным стратегиям обхода обнаружения и высокой эффективности распределенной работы. Его способность работать с широким кругом браузеров, а также использовать современные коммуникационные каналы вроде Telegram-ботов, делает эту угрозу крайне опасной как для обычных пользователей, так и для корпоративных систем.
Рекомендация экспертного сообщества — повышать уровень цифровой гигиены, регулярно обновлять средства защиты и внимательно отслеживать нетипичную активность в системе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
