Un nuevo robador de información sofisticado llamado Shuyal ha surgido en el paisaje de ciberseguridad, lo que demuestra un alcance sin precedentes en sus capacidades de recolección de credenciales.
El malware se dirige a las credenciales de inicio de sesión de 19 navegadores web diferentes, que van desde aplicaciones convencionales como Google Chrome y Microsoft Edge hasta navegadores centrados en la privacidad como Tor y Epic.
Este enfoque integral hace que Shuyal sea particularmente peligroso, ya que puede comprometer las credenciales de los usuarios independientemente de las preferencias de su navegador.
El robador opera a través de un vector de ataque de varias etapas que comienza con el reconocimiento del sistema y progresa a la extracción de credenciales y la exfiltración de datos.
Shuyal emplea técnicas de evasión avanzada, incluida la desactivación automática del administrador de tareas de Windows y los sofisticados mecanismos anti-detección que lo ayudan a permanecer sin detectar durante sus operaciones maliciosas.
Las capacidades de autoselección del malware mejoran aún más su perfil de sigilo, eliminando trazas de su actividad después de completar sus funciones principales.
Investigadores de análisis híbrido identificado Shuyal a través del análisis de comportamiento integral, nombrándolo en base a identificadores únicos descubiertos en la ruta de la base de datos del programa del ejecutable (PDB).
Ruta PDB extraída en el informe de análisis híbrido (fuente – análisis híbrido)
El malware demuestra una notable sofisticación técnica, que combina el robo de credenciales tradicionales con métodos de exfiltración modernos que utilizan la recolección de tokens de discordia e infraestructura de transmisión de datos basada en el telegrama.
Los navegadores múltiples están dirigidos por el robador (Fuente – Análisis híbrido)
El impacto de Shuyal se extiende más allá del simple robo de contraseña, ya que el malware captura las capturas de pantalla del sistema, el contenido del portapapeles y realiza un reconocimiento detallado del sistema.
Este enfoque integral de recopilación de datos proporciona a los atacantes un perfil completo de los sistemas de víctimas y las actividades del usuario, amplificando significativamente el potencial para una mayor explotación y robo de identidad.
Mecanismos avanzados de evasión y persistencia
La estrategia de persistencia de Shuyal se centra en técnicas sofisticadas de evasión de defensa que garantizan el compromiso del sistema a largo plazo y evitan la detección.
El malware establece la persistencia al copiarse en la carpeta de inicio de Windows utilizando la función CopyFilea, asegurando la ejecución automática al reiniciar el sistema.
Este mecanismo de persistencia se combina con características agresivas contra el análisis que interfieren activamente con las herramientas de seguridad y el monitoreo del sistema.
La táctica de evasión más notable del Stealer implica dirigirse sistemáticamente a Windows Task Manager. Tras la ejecución, Shuyal enumera los procesos de ejecución para localizar TaskMgr.exe y lo termina utilizando el método TerminateProcess.
Después de la terminación, el malware modifica el valor del registro DisableTAskMGR a 1, evitando efectivamente que los usuarios inicien el administrador de tareas investigar la actividad sospechosa del sistema.
Shuyal realiza un amplio reconocimiento del sistema a través de comandos de instrumentación de administración de Windows (WMI), recopilando información detallada sobre unidades de disco, dispositivos de entrada y configuraciones de visualización.
El malware ejecuta comandos como WMIC Diskdrive Get Model, SerialNumber y WMIC Path Win32_Keyboard Obtener descripción, dispositivos para perfilar el sistema infectado de manera integral.
El proceso de extracción de credenciales utiliza una consulta SQL sofisticada: seleccione Origin_URL, username_value, contraseña_value desde inicios de sesión ejecutados en bases de datos del navegador.
El malware descifra las contraseñas almacenadas extrayendo la tecla maestra de los archivos de estado local del navegador, la base64-decodificando la clave y utilizando la API de protección de datos de Windows (DPAPI) a través de CryptunProtectData para operaciones de descifrado.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
