在网络安全领域出现了一种名为SHUYAL的复杂新型信息窃取工具,其凭证收集能力展示了前所未有的范围。
该恶意软件针对19个不同的网络浏览器的登录凭证,从谷歌浏览器和微软Edge等主流应用程序到注重隐私的浏览器如Tor和Epic都有涉及。
这种全面的方法使SHUYAL特别危险,因为它可以获取用户的凭证,无论用户的浏览器偏好如何。
该窃取者通过多阶段的攻击途径进行操作,从系统侦察开始,逐步进行凭证提取和数据泄露。
SHUYAL 使用先进的避难技术,包括自动禁用 Windows 任务管理器和复杂的反检测机制,这有助于它在恶意操作期间保持不被检测到。
恶意软件的自删除功能进一步增强了其隐形特性,在完成主要功能后删除其活动痕迹。
Hybrid Analysis 研究人员识别出 SHUYAL,通过全面的行为分析,根据在可执行文件的程序数据库(PDB)路径中发现的独特标识符进行命名。
该恶意软件展示了惊人的技术复杂性,将传统凭证盗窃与利用Discord令牌收集和基于Telegram的数据传输基础设施的现代数据传输方法结合起来。
SHUYAL的影响不仅仅在于简单的密码盗窃,该恶意软件会捕获系统截图、剪贴板内容,并进行详细的系统侦察。
这种全面的数据收集方法为攻击者提供了受害者系统和用户活动的完整档案,大大增加了进一步利用和身份盗窃的可能性。
高级逃避和持久性机制
SHUYAL的持久化策略依赖于复杂的防御绕过技术,以确保长期的系统破坏同时避免被检测到。
该恶意软件通过将自身复制到Windows启动文件夹中,使用CopyFileA函数,确保系统重启时自动执行。
这种持久化机制结合了积极干扰安全工具和系统监控的激进反分析功能。
该窃取者最显著的避难策略涉及系统地针对Windows任务管理器。执行时,SHUYAL枚举正在运行的进程以定位taskmgr.exe并使用TerminateProcess方法终止它。
终止后,该恶意软件修改注册表值DisableTaskMgr为1,有效地防止用户启动任务管理器来调查可疑的系统活动。
SHUYAL通过Windows管理规范(WMI)命令进行广泛的系统侦察,收集有关磁盘驱动器、输入设备和显示配置的详细信息。
该恶意软件执行命令如wmic diskdrive get model,serialnumber和wmic path Win32_Keyboard get Description,DeviceID,以全面分析受感染的系统。
凭证提取过程使用了一个复杂的SQL查询:SELECT origin_url, username_value, password_value FROM logins 在浏览器数据库上执行。
该恶意软件通过从浏览器的Local State文件中提取主密钥,对密钥进行base64解码,并通过CryptUnprotectData来执行解密操作,从而解密存储的密码。
翻译自:cybersecuritynews
新的SHUYAL攻击19个流行浏览器以窃取登录凭证
发布日期:2025-08-07
领取优惠
提交成功!