Το τοπίο της κυβερνοασφάλειας είδε πρόσφατα την εμφάνιση του SHUYAL, ενός εξελιγμένου νέου κλέφτη πληροφοριών. Αυτό το κακόβουλο λογισμικό επιδεικνύει πρωτοφανές εύρος στις δυνατότητες συλλογής διαπιστευτηρίων, αποτελώντας σημαντική απειλή.
Το SHUYAL έχει σχεδιαστεί για να στοχεύει διαπιστευτήρια σύνδεσης από 19 διαφορετικά προγράμματα περιήγησης. Η εμβέλειά του εκτείνεται από ευρέως χρησιμοποιούμενες εφαρμογές όπως το Google Chrome και το Microsoft Edge έως εναλλακτικές λύσεις με επίκεντρο την ιδιωτικότητα, όπως το Tor και το Epic.
Αυτή η ολοκληρωμένη στρατηγική στόχευσης καθιστά το SHUYAL ιδιαίτερα επικίνδυνο, καθώς μπορεί να παραβιάσει τα διαπιστευτήρια των χρηστών ανεξάρτητα από το προτιμώμενο πρόγραμμα περιήγησής τους.
Ο κλέφτης λειτουργεί μέσω ενός πολυσταδιακού διανύσματος επίθεσης. Αυτή η διαδικασία ξεκινά με αναγνώριση συστήματος, προχωρώντας στη συνέχεια στην εξαγωγή διαπιστευτηρίων και καταλήγοντας στην εκροή δεδομένων.
Για να διατηρήσει τις κρυφές του λειτουργίες, το SHUYAL χρησιμοποιεί προηγμένες τεχνικές αποφυγής, συμπεριλαμβανομένης της αυτόματης απενεργοποίησης της Διαχείρισης Εργασιών των Windows και εξελιγμένων μηχανισμών ανίχνευσης.
Επιπλέον, οι δυνατότητες αυτοδιαγραφής του κακόβουλου λογισμικού ενισχύουν το προφίλ μυστικότητάς του, διασφαλίζοντας ότι τα ίχνη της δραστηριότητάς του αφαιρούνται με την ολοκλήρωση των κύριων λειτουργιών του.
Η στρατηγική επιμονής του SHUYAL βασίζεται σε εξελιγμένες τεχνικές αποφυγής άμυνας, σχεδιασμένες να διασφαλίζουν μακροπρόθεσμη παραβίαση συστήματος, παρακάμπτοντας την ανίχνευση.
Το κακόβουλο λογισμικό εγκαθιστά επιμονή αντιγράφοντας τον εαυτό του στον φάκελο εκκίνησης των Windows, χρησιμοποιώντας τη λειτουργία CopyFileA για να εγγυηθεί την αυτόματη εκτέλεση κατά την επανεκκίνηση του συστήματος.
Αυτός ο μηχανισμός επιμονής ενισχύεται περαιτέρω από επιθετικές λειτουργίες κατά της ανάλυσης που παρεμβαίνουν ενεργά σε εργαλεία ασφαλείας και παρακολούθηση συστήματος.
Μια ιδιαίτερα αξιοσημείωτη τακτική αποφυγής περιλαμβάνει τη συστηματική στόχευση της Διαχείρισης Εργασιών των Windows. Κατά την εκτέλεση, το SHUYAL απαριθμεί τις τρέχουσες διεργασίες για να εντοπίσει το taskmgr.exe και προχωρά στην τερματισμό του και στην τροποποίηση της τιμής μητρώου DisableTaskMgr σε 1, αποτρέποντας αποτελεσματικά τους χρήστες από την εκκίνηση της Διαχείρισης Εργασιών για τη διερεύνηση ύποπτης δραστηριότητας συστήματος.
Εκτεταμένη αναγνώριση συστήματος πραγματοποιείται από το SHUYAL μέσω εντολών Windows Management Instrumentation (WMI). Αυτό επιτρέπει στο κακόβουλο λογισμικό να συλλέγει λεπτομερείς πληροφορίες σχετικά με μονάδες δίσκου, συσκευές εισόδου και διαμορφώσεις οθόνης.
Η διαδικασία εξαγωγής διαπιστευτηρίων χρησιμοποιεί ένα εξελιγμένο ερώτημα SQL: SELECT origin_url, username_value, password_value FROM logins, το οποίο εκτελείται απευθείας έναντι των βάσεων δεδομένων των προγραμμάτων περιήγησης.
Οι αποθηκευμένοι κωδικοί πρόσβασης αποκρυπτογραφούνται στη συνέχεια από το κακόβουλο λογισμικό μέσω μιας πολυσταδιακής διαδικασίας: εξαγωγή του Master key από αρχεία Local State του προγράμματος περιήγησης, αποκωδικοποίηση base64 αυτού του κλειδιού και τέλος χρήση του Windows Data Protection API (DPAPI) μέσω CryptUnprotectData για τις λειτουργίες αποκρυπτογράφησης.