Point Wild’ın Lat61 Tehdit İstihbarat Ekibi’ndeki siber güvenlik araştırmacıları, bir veya iki değil, 17 farklı web tarayıcısından oturum açma bilgilerini çalmak için tasarlanmış kötü amaçlı bir yazılım türü olan Shuyal Stealer adında yeni bir bilgi hırsızı buldu.
Shuyal Stealer Profilleri ve Sistemlerden Nasıl Yararlanıyor?
Shuyal Stealer ayrıca Windows Yönetim Araçları komutlarını kullanarak hedeflenen makinelerin derinlemesine profilini çıkarma, diskler, giriş aygıtları ve ekran ayarları hakkında bilgi toplama yeteneğine de sahiptir. Bu tür cihaz eşlemesi, saldırganlara kurbanın sisteminin net bir resmini verir ve bu resim hedeflenen amaçlar için kullanılabilir. kimlik hırsızlığı veya diğer takip saldırıları.
Kötü amaçlı yazılım aynı zamanda birçok bilgi hırsızının göz ardı ettiği bağlamsal verileri de yakalar. Ekran görüntüleri alır, pano içeriğini kaydeder ve çıkarır Anlaşmazlık kimlik doğrulama belirteçleri. Bu yetenekler, saldırganların, kurbanın cihazında ne yaptığına ilişkin gerçek bağlamı elde etmesine olanak tanır; bu da, basit bir şifre çalmayı, hesabın tamamının ele geçirilmesine dönüştürebilir ve kurbanın çevrimiçi etkinlikleri hakkında diğer kötü amaçlı yazılımlardan daha fazla bilgi edinebilir.
Veri Süzme ve Kalıcılık Yöntemleri
Lat61’e göre blog yazısı HackRead.com ile paylaşılan kötü amaçlı yazılım, toplanan dosyaları PowerShell ile sıkıştırır ve bunları sabit kodlanmış bir ağ üzerinden gönderir. Telgraf botları. Araştırmacılar, arşivi doğrudan saldırganın hesabına iletmek için kullanılan belirli bir bot jetonu ve sohbet kimliği buldu. Aktarım tamamlandıktan sonra Shuyal, arşivi siler ve adli tıp çalışmalarını zorlaştıracak izleri temizler.
Shuyal, yürütülebilir dosyayı CopyFileA API’sini kullanarak sessizce Windows Başlangıç klasörüne kopyalar. Ayrıca Görev Yöneticisi işlemlerini kapatır ve kayıt defterini değiştirerek Görev Yöneticisi’ni tamamen devre dışı bırakarak kullanıcıların bunu fark etmesini veya durdurmasını engeller.
Tarayıcı Hedefleme ve Veri Hırsızlığı
Verileri nasıl çaldığını analiz ederken Point Wild’ın araştırmacıları Shuyal’in verimliliğine dikkat çekti. Özellikle tarayıcı dizinlerinde bulunan “Giriş Verileri” dosyasını arar ve URL’leri, kullanıcı adlarını ve şifrelenmiş şifreleri çıkarmak için bir SQL sorgusu çalıştırır.
Çalınan her oturum veya jeton yerel olarak kaydedilir ve daha sonra dışarı sızmak üzere sıkıştırılır. Gibi dosyalar tokens.txt, clipboard.txt Ve ss.png Kayıtlı şifrelerden kopyalanan metne ve aktif pencerelere kadar kurbanın dijital yaşamının farklı bölümlerini belgeleyin. Kötü amaçlı yazılım bir history.txt Hangi tarayıcıların ve uygulamaların tarandığının günlüğü. Hedeflenen tarayıcıların listesi aşağıdadır:
- Tor
- Kenar
- Destansı
- Cesur
- Opera
- Vivaldi
- Coc Coc
- Maxthon
- Krom
- Su tilkisi
- Rahat
- İnce jet
- Yandex’in
- Şahin
- Krom
- Opera GX
- 360 Tarayıcı
Kendi Kendini Silme, Uzman Görüşü ve Azaltma
Dışarıya sızma bittikten sonra Shuyal, kendi kendini silme rutinini çalıştırır. Adlı bir toplu komut dosyasını başlatır. util.bat bu, arşivi ve ilgili dosyaları kaldırarak olaya müdahaleyi ve ilişkilendirmeyi zorlaştırır.
Doktor Zülfikar RamzanPoint Wild CTO’su ve Lat61 Tehdit İstihbarat Ekibi başkanı, tehdidi birçok tarayıcıyı hedef alan, Görev Yöneticisini devre dışı bırakan ve toplanan verileri Telegram üzerinden sessizce gönderip ardından izlerini kaldıran güçlü bir bilgi hırsızı olarak özetledi.
“Shuyal, kapsam ve gizlilik için tasarlanmış olağanüstü bir bilgi hırsızıdır. Tarayıcılardan kimlik bilgilerini yağmalıyor, Windows Görev Yöneticisini öldürüyor ve Telegram üzerinden sessizce veri sızdırıyor. Bu bir parçala-yakala ve sonra ortadan kayboluyor” dedi.
Diğer bilgi hırsızlarının aksine, Shuyal Stealer hem gizlilik hem de güvenlik riski taşıyor çünkü saldırganların çalınan sırları hesap ele geçirmelerine dönüştürmesine yardımcı olan kimlik bilgilerinin yanı sıra bağlamsal verileri de alıyor. Sistem profili oluşturma, geniş tarayıcı kapsamı ve temizleme sürecinin birleşimi, onu günümüzde aktif olan daha yetenekli bilgi hırsızları arasına yerleştiriyor.
Bir enfeksiyondan şüpheleniyorsanız Point Wild, Ağ ile Güvenli Mod’da yeniden başlatmanızı ve bir güvenilir antivirüs. Kötü amaçlı yazılım şu şekilde algılanır: Trojan.W64.100925.Shuyal.YR.