Ha surgido un nuevo malware de infancia, denominado “Shuyal” por los investigadores de Hybrid Analysis,, demostrando capacidades sofisticadas en la exfiltración de datos confidenciales de una amplia gama de navegadores, incluidos los centrados en la privacidad. Este malware también emplea tácticas avanzadas de reconocimiento y evasión del sistema.
Llamado Shuyal basado en identificadores únicos encontrados en la ruta PDB de su ejecutable, este robador previamente indocumentado se dirige a 19 navegadores diferentes. Estos incluyen aplicaciones convencionales como Chrome y Edge, así como opciones centradas en la privacidad como Tor, Brave, Opera, OperaGX, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360 Browser, Ur, Avast y Falko.
Más allá de robar las credenciales típicamente guardadas en los navegadores, Shuyal realiza un amplio reconocimiento del sistema. Se reúne información detallada sobre unidades de disco, dispositivos de entrada y configuraciones de visualización. El malware también captura capturas de pantalla del sistema y contenido de portapapeles. Todos los datos recopilados, incluidos los tokens de discordia robados, se exfiltran a través de una infraestructura BOT de telegrama.
Shuyal integra técnicas agresivas de evasión de defensa. Tras la implementación, deshabilita inmediatamente el Administrador de tareas de Windows modificando el valor del registro “DisableTaskMGR”. También mantiene el sigilo operativo a través de los mecanismos de autoselección, utilizando un archivo por lotes para eliminar las trazas de su actividad después de completar sus funciones principales.
Una vez que se despliega Shuyal, intenta acceder a las credenciales de inicio de sesión desde sus navegadores específicos. El malware genera múltiples procesos para recuperar el modelo y los números de serie de las unidades de disco disponibles, la información sobre teclados y ratones instalados y detalles sobre monitores adjuntos. También captura una captura de pantalla de la actividad actual y roba datos del portapapeles.
El robador utiliza PowerShell para comprimir los datos recopilados en una carpeta dentro del directorio “%TEMP%” antes de la exfiltración a través del bot de telegrama. El malware está diseñado para el sigilo, eliminando los archivos recién creados de las bases de datos del navegador y todos los archivos del directorio de tiempo de ejecución que se exfiltraron previamente. Shuyal también establece la persistencia al copiarse en la carpeta de inicio.
La aparición de Shuyal destaca el panorama de amenazas que cambia continuamente, influenciado por factores como las operaciones de aplicación de la ley. Por ejemplo, una operación del FBI en mayo interrumpió la operación de robador de Lumma, aunque su resurgimiento indica la naturaleza adaptativa de los ciberdelincuentes.
Si bien el análisis híbrido no reveló los métodos de distribución para Shuyal, otros robos se han diseminado a través de varios medios, incluidas las publicaciones en las redes sociales, las campañas de phishing y las páginas de Captcha. El malware de infotezing a menudo sirve como precursor de ataques cibernéticos más severos, como ransomware, compromiso de correo electrónico comercial (BEC) y otras amenazas empresariales.
Dado el peligro significativo planteado por el malware de infestación, el investigador de análisis híbrido Vlad Pasca recomienda que los defensores aprovechen las ideas proporcionadas en su publicación de blog sobre Shuyal para desarrollar mecanismos de detección y defensa más efectivos. La publicación incluye una lista completa de indicadores de compromiso (COI), como archivos creados por el robador, procesos generados y la dirección del bot de telegrama utilizado para la exfiltración de datos.
Source: Cómo el nuevo malware Shuyal deshabilita el Administrador de tareas
