Shuyal Stealer, son aylarda gözlemlenen en çok yönlü kimlik hırsızlığı araçlarından biri olarak hızla yükseldi.
İlk olarak Ağustos 2025’in başlarında tespit edilen modüler mimarisi, Chromium tabanlı, Gecko tabanlı ve eski motorlar da dahil olmak üzere çok çeşitli web tarayıcılarını hedeflemesine olanak tanıyor.
Tehlikenin ilk göstergeleri, güvenliği ihlal edilmiş ana bilgisayarlardan gelen anormal ağ trafiği olarak ortaya çıktı; kullanıcılar, açıklanamayan tarayıcı çökmelerinin ardından tanıdık olmayan komuta ve kontrol (C2) sunucularına giden bağlantılarda artışlar olduğunu bildirdi.
Point Wild araştırmacıları, Shuyal Stealer’ın ortaya çıkışından birkaç gün sonra finans, sağlık ve imalat da dahil olmak üzere birçok endüstri sektöründe yüzlerce uç noktayı tehlikeye attığını belirtti.
Kötü amaçlı yazılımın saldırı vektörleri, öncelikle yazılım güncellemeleri veya yardımcı program yükleyicileri kılığına giren geleneksel sosyal mühendislik tekniklerine dayanmaktadır.
Kimlik avı e-postaları veya kötü amaçlı reklamlar yoluyla gönderilen yükleyici yükü, gizlenmiş bir DLL yükleyicinin yanı sıra meşru bir sistem ikili dosyasını paketinden çıkaran ve çalıştıran, kendi kendine açılan bir arşiv kullanır.
.webp)
Bu yandan yükleme mekanizması, Shuyal Stealer’ın yaygın uygulama beyaz listesi çözümlerinden kaçmasına olanak tanır.
Yükleyici yürütülürken çekirdek hırsız modülünü çalışan tarayıcı işlemlerine enjekte ederek depolanan çerezlere, kayıtlı şifrelere ve otomatik form doldurma verilerine tam erişim sağlar.
Point Wild analistleri, LoadLibrary ve GetProcAddress gibi önemli Windows işlevlerine yapılan çağrıları gizlemek için şifrelenmiş dizelerin ve API karmasının kullanıldığını tespit ederek güvenlik araştırmacılarının statik analizini karmaşık hale getirdi.
Başarılı enjeksiyonun ardından Shuyal Stealer, tarayıcının SQLite veritabanlarından ve belleğinden kimlik bilgilerini toplayarak veri yükü rutinlerine başlar.
Chrome, Edge, Firefox, Opera, Vivaldi, Brave dahil 19 farklı tarayıcıyı ve belirli bölgelerde popüler olan daha az bilinen birkaç çatalı destekler.
Hırsız ayrıca yerel önbellekte saklanan bankacılık oturumu belirteçlerini ve iki faktörlü kimlik doğrulama onaylarını da çıkarabilir.
Veriler toplandıktan sonra özel bir ZIP uygulaması kullanılarak sıkıştırılır ve dışarı sızmadan önce CBC modunda AES-256 ile şifrelenir.
Trafik analizi, kötü amaçlı yazılımın, çalınan kimlik bilgilerini 512 KB’lık parçalar halinde topladığını ve bunların HTTPS üzerinden her kurban için dinamik olarak oluşturulmuş bir alt alana gönderildiğini ve bunun da yayından kaldırma çalışmalarını zorlaştırdığını gösteriyor.
Enfeksiyon ve Yükleyici Mekanizması
Shuyal Stealer’ın bulaşma mekanizması, gizliliği korumak için DLL tarafından yüklemeye ve bağlantısız API çağrılarına dayanır.
Arşivin sıkıştırmasını açtıktan sonra yükleyici, Windows dizinine zararsız bir sistem yürütülebilir dosyası (örneğin, svchost.exe) yazar ve beraberindeki kötü amaçlı DLL’yi aynı konuma bırakır.
Yürütülebilir dosya daha sonra HKCU\Software\Microsoft\Windows\CurrentVersion\Run altında hazırlanmış bir kayıt defteri girdisiyle başlatılır ve yeniden başlatmalarda kalıcılık sağlanır.
Meşru yürütülebilir dosya yüklendikten sonra Windows, adlandırma kuralı eşleşmesi nedeniyle kötü amaçlı DLL dosyasını otomatik olarak çözer ve yükler.
DLL’nin DllMain’inde yükleyici, aşamalı bir paket açıcıyı çağırır: –
// Simplified unpack routine
void UnpackAndInject() {
BYTE* encryptedPayload = LoadResource(MAKEINTRESOURCE(101));
BYTE* payload = DecryptAES256(encryptedPayload, payloadSize, key, iv);
HANDLE hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, targetPid);
LPVOID remoteMem = VirtualAllocEx(hProc, NULL, payloadSize, MEM_COMMIT, PAGE_EXECUTE_READWRITE);
WriteProcessMemory(hProc, remoteMem, payload, payloadSize, NULL);
CreateRemoteThread(hProc, NULL, 0, (LPTHREAD_START_ROUTINE)remoteMem, NULL, 0, NULL);
}Bu paket açıcı, bellekteki çekirdek çalma modülünün şifresini çözer ve onu hedef tarayıcı işlemine enjekte eder.
Shuyal Stealer, birincil veri yükünü diske yazmaktan kaçınarak ve yasal ikili dosyalardan yararlanarak birçok uç nokta algılama çözümünü atlar.
İşlev adları dize tablolarında hiçbir zaman görünmediğinden, API karmasının kullanılması buluşsal algılamayı daha da engeller.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
