SHUYAL adlı yeni bir bilgi çalan Hibrid Analizi ile yakın zamanda keşfedildi.
Google Chrome, Microsoft Edge, Opera, Brave ve Yandex gibi popüler olanlar da dahil olmak üzere 19 farklı web tarayıcısından kimlik bilgisi çıkarmada kapsamlı yetenekler gösterdi ve opera GX, Vivaldi, Chromium, Waterfox, Tor, Epic gizlilik tarayıcısı, Comodo Dragon, SlimJet, COC, Maxthon, UR, SlimJet, COC, Maxthon, UR, SlimJet, COC, Maxthon, UR, SlimJet, COC, Maxthon, UR, SlimJet, COC, Maxthon, UR, SlimJet, COC, Maks. ve Falkon.
“Sheepy” kullanıcı adına da atıfta bulunan yürütülebilir PDB yolundaki benzersiz tanımlayıcıların adını taşıyan Shuyal, kapsamlı tarayıcı hedeflemesini gelişmiş sistem keşifleriyle entegre eden daha önce belgelenmemiş bir tehdidi temsil ediyor.
Kimlik Hırsızlığı’ndaki Gelişmiş Yetenekler
Kötü amaçlı yazılım, donanım bileşenlerinin ayrıntılı olarak numaralandırılmasını, modelleri ve disk sürücülerinin seri numaralarını, klavyeler için açıklamalar ve cihaz kimliklerinin yanı sıra, fareler gibi işaretleme cihazlarını ve masaüstü monitörlerinin yanı sıra gerçekleştirir.
Bu keşif, PowerShell’i kullanarak masaüstü duvar kağıdı yolunu sorgulamaya kadar uzanır, ancak “WMIC Get Name” gibi eksik komutlar eyleme geçirilebilir veri vermez.
Donanım profilinin ötesinde, Shuyal, GdiPLUSSTARTUP, BITBLT ve GDIPSAVEIMAGETOFile gibi GDI+ API’leri kullanarak ekran görüntülerini yakalar ve bunları “SS.PNG” olarak kaydeder ve Peçeli İçerikleri OpenClipboard ve GetClipboardData, “Plubboard.txt” ile saklar.
Ayrıca, geçici bir “çalışma zamanı” dizininde “Tokens.txt” ve “Debug_log.txt” gibi dosyalarda tarayıcı verilerinin yanında kaydedilen Discord Uygulamalar Standart, Kanarya ve PTB çalma kimlik doğrulama jetonlarını hedefler.
Shuyal’ın operasyonel sofistike, TerminationProcess çağrıları yoluyla Windows Görev Yöneticisi sürecinin agresif feshedilmesi ve ardından “DisableTaskMgr” kayıt defteri anahtarını HKCU \ Software \ Microsoft \ Windows \ Currentersion \ Policies \ System altında ayarlayarak tamamen devre dışı bırakma da dahil olmak üzere kaçınma taktiklerinde belirgindir.
Bu, kullanıcıların kötü amaçlı yazılım faaliyetlerini izlemesini veya kesintiye uğratmasını önler. Kalıcılık için, stealer, kullanıcının başlangıç klasörünü (csidl_startup) bulmak için shgetSpecialFolderPatha API’sinden yararlanır ve CopyFilea kullanarak kendisini kopyalar ve sistem botunda otomatik yürütme sağlar.
Kimlik bilgisi hırsızlığı titizlikle yürütülür: kötü amaçlı yazılım, hedeflenen tarayıcılardan “Oturum Açma Veri” veritabanlarını bulur, bunları geçerli dizine (örn. Chrome için “Chrome_Data.db”) kopyalar ve “Select_url, Username_Value, Passswe_value” gibi SQL sorgularını çıkarır.
Şifreler, Base64 kod çözmesinden sonra DPAPI’nin CryptunprotectData aracılığıyla işlenen ve “Saved_passwords.txt” e kaydedilen “Yerel Durum” dosyasından tarayıcının ana anahtarı kullanılarak şifre çözülür.
Göz atma geçmişi, “\ user data \ varsayılan \ hate” gibi dosyalardan benzer şekilde çalınır ve veri toplama işlemine kapsamlı bir yaklaşım gösteren “history.txt” olarak saklanır.
Kendini aşınma mekanizmaları
Stealth’i korumak için Shuyal, modern pesfiltrasyon yöntemlerini kullanır, “çalışma zamanı” dizinini PowerShell’in kompres-arşiv cmdleti aracılığıyla “Runtime.zip” olarak sıkıştırır ve HXXPS: //api.telegram’da bir telgraf botuna iletir.[.]org/bot7522684505: aaeodeii83b_nlpli0buqtnotvdjc8yhfjq/sendDocument? chat_id = -100250389864.
Bu, uyumsuzluk jeton hırsızlığını telgraf tabanlı veri rölesiyle birleştirerek verimli komut ve kontrol iletişimini sağlar.
Ağ olayları, soket tabanlı algılamalar için WSaEnumnetWorkKeVents kullanılarak izlenir ve başka bir operasyonel farkındalık katmanı ekler.
Rapora göre, exfiltrasyon sonrası, kötü amaçlı yazılım, oluşturulan veritabanı kopyalarını ve çalışma zamanı dosyalarını kaldırarak, anti-forensik profilini geliştirerek izleri siler.
Son olarak, kendi kendine aşınma, en az ayak izleri bırakarak, yürütülebilir dosyayı bir gecikmeden sonra silmek için “timeout /t 1 /nobreak> nul” ve “del /f /q” gibi komutları kullanan bir “util.bat” toplu komut dosyası ile elde edilir.
Bu derinlemesine inceleme, hibrid analizinin davranış göstergelerini statik ve dinamik sökme ile harmanlayan Shuyal’ın çok yönlü bir infostealer olarak rolünü altüst eder.
Sadece kimlik bilgilerini almakla kalmaz, aynı zamanda sistem keşifleri yapar, algılamadan kaçınır ve verileri gizli bir şekilde püskürtür ve çeşitli tarayıcı ekosistemlerinde kullanıcılar için önemli riskler oluşturur.
Güvenlik ekiplerinin bu kalıpları izlemeleri, örnek indirmeler için hibrid analize ve bu tür tehditlere karşı sağlam savunmalar geliştirmek için daha fazla ters mühendislikten yararlanmaları önerilir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Gösterge |
|---|---|
| SHA256 | 810d4850e216df639648a37004a0d4d1275a194924fa5312d3403be97edf5c |
| Oluşturulan dosyalar | C: \ Kullanıcılar C: \ Kullanıcılar C: \ Kullanıcılar C: \ Kullanıcılar C: \ Kullanıcılar C: \ Kullanıcılar C: \ Kullanıcılar yararlı.bat |
| Süreçler ortaya çıktı | WMIC Diskdrive Model, Serialnumber wmic yol win32_keyboard alımını al, cihazId WMIC Yolu Win32_PointingDevice Aut Açıklama, PnpDeviceid WMIC PATH WIN32_DESKTOPMONITER TANIM, PNPDEVICEID WMIC Get Adı PowerShell -Command “(Get -itemproperty ‘HKCU: \ Control Panel \ Desktop’). Duvar kağıdı” PowerShell -Command “Sıkıştırma -Archive -Path ‘C: \ Kullanıcılar |
| Telgraf botu | Hxxps[:]//api.telegram[.]org/bot7522684505: aaeodeii83b_nlpli0buqtnotvdjc8yhfjq/senddocument? chat_id = -1002503889864 |
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now