Di recente tracciamento, un nuovo infostealer, potrebbe aggiungersi alle minacce già note. Si chiama
SHUYAL, una specie di tornado digitale: entra nel
sistema, raccoglie ogni dato sensibile disponibile e si autoelimina, consegnando il bottino agli attaccanti tramite Telegram. Un’operazione rapida e silenziosa SHUYAL è stato analizzato dai ricercatori di
Hybrid Analysis, che ne hanno documentato il comportamento aggressivo e la metodologia ben orchestrata. A differenza di molti infostealer tradizionali, questo malware non si limita a rubare password e cookie: esegue una vera e propria
ricognizione completa del sistema prima di agire. Inizia con una serie di comandi
WMIC per raccogliere informazioni su:
- Modello e numero seriale degli hard disk.
- Dispositivi di input come tastiera e mouse.
- Monitor collegati.
Non contento, SHUYAL estrae anche il percorso dell’immagine di sfondo
del desktop tramite PowerShell, dimostrando un’attenzione quasi maniacale per i dettagli. Disabilitare le difese e nascondersi Uno degli aspetti più insidiosi di SHUYAL è la sua capacità di
neutralizzare il Task Manager e impedirne il riavvio modificando il registro di
sistema: Set-ItemProperty -Path 'HKCU:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystem' -Name 'DisableTaskMgr' -Value 1 Inoltre, si assicura di
persistere nel
sistema copiandosi nella cartella di avvio automatico, garantendosi così l’esecuzione a ogni riavvio. Il furto dei dati: browser, clipboard e screenshot SHUYAL prende di mira
19 browser diversi, tra cui Chrome, Edge, Brave, Opera e persino Tor Browser. Il suo obiettivo principale sono le credenziali, che estrae decriptando i database
Login Data e
Local State utilizzando le API di Windows. I dati rubati includono:
- Credenziali salvate (con URL, username e password).
- Cronologia di navigazione.
- Token di Discord.
- Contenuti del clipboard.
Non solo: il malware scatta anche uno
screenshot del desktop, salvandolo
come ss.png, e archivia tutto in una cartella temporanea prima di inviarlo via Telegram. La fuga perfetta Dopo aver completato il furto, SHUYAL avvia la fase di
auto-distruzione:
- Crea un file BAT (util.bat) con le istruzioni per eliminare se stesso e i file temporanei.
- Si assicura che il BAT venga eseguito dopo un ritardo di 3 secondi, per evitare blocchi.
@echo off timeout /t 3 /nobreak > NUL
del "SHUYAL.exe" rd /s /q "%TEMP%runtime" exit Telegram
come canale di esfiltrazione I dati vengono inviati a un
bot Telegram attraverso l’API ufficiale, sfruttando un endpoint
come: hxxps[:]//api.telegram[.]org/bot/sendDocument?chat_id= Questo approccio rende difficile il tracciamento, poiché Telegram è un servizio legittimo e ampiamente utilizzato. SHUYAL rappresenta un’evoluzione preoccupante nel panorama degli infostealer. La sua capacità di agire rapidamente, coprire le proprie tracce e sfruttare canali legittimi per l’esfiltrazione lo rende particolarmente pericoloso. Le soluzioni antivirus tradizionali potrebbero non bastare: è necessario un approccio
proattivo, con monitoraggio continuo dei processi sospetti e delle modifiche al registro. In questo senso gli IoC seguenti possono aiutare.
IOC (Indicatori di Compromissione) - SHA256: 810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
- File creati: runtime.zip, util.bat, saved_passwords.txt
- Processi sospetti: Comandi WMIC e PowerShell menzionati sopra.
Per ora, SHUYAL è un promemoria di quanto possano essere sofisticati gli attacchi moderni. E, purtroppo, è probabile che non sarà l’ultimo della sua specie. L'articolo
SHUYAL: il malware che ruba tutto e svanisce nel nulla proviene da
(in)sicurezza digitale.
Source:
https://insicurezzadigitale.com/shuyal- ... nel-nulla/
