Siber güvenlik dünyasında yeni ve oldukça gelişmiş bir bilgi çalan kötü amaçlı yazılım olan “Shuyal” tespit edildi. Bu yazılım, ana akım tarayıcıların yanı sıra gizlilik odaklı olduğu düşünülen tarayıcılar da dahil olmak üzere 19 farklı tarayıcıdan hassas verileri çalma yeteneğine sahip.
Hybrid Analysis araştırmacıları tarafından “Shuyal” olarak adlandırılan bu zararlı yazılım, gelişmiş sistem keşfi ve kaçınma taktikleri sergiliyor. Kurbanın makinesine yüklendikten sonra sadece kimlik bilgilerini değil, aynı zamanda diğer önemli bilgileri de hedef alıyor ve kalıcılığını sağlıyor.
Hybrid Analysis araştırmacısı Vlad Pasca, Shuyal’ın yürütülebilir dosyasının PDB yolunda bulunan benzersiz tanımlayıcılara dayanarak adlandırıldığını belirtti. Pasca, “Daha önce belgelenmemiş bu çalıcı, Chrome ve Edge gibi ana akım uygulamalardan Tor gibi gizlilik odaklı seçeneklere kadar 19 farklı tarayıcıdan kimlik bilgilerini ele geçirerek kapsamlı bir tarayıcı hedeflemesi sergiliyor” dedi.
Shuyal, tarayıcılarda kayıtlı kimlik bilgilerini çalmanın yanı sıra, disk sürücüleri, giriş aygıtları ve ekran yapılandırmaları hakkında ayrıntılı bilgi toplamak için sistem keşfi yapıyor. Ayrıca, sistem ekran görüntülerini ve pano içeriğini yakalayarak bu verileri, çalınan Discord jetonlarıyla birlikte bir Telegram bot altyapısı aracılığıyla dışarı sızdırıyor.
Kötü amaçlı yazılım, Pasca’nın “agresif savunma kaçınma teknikleri” olarak adlandırdığı yöntemleri kullanıyor. Bunlar arasında Windows Görev Yöneticisi’nin otomatik olarak sonlandırılması ve devre dışı bırakılması yer alıyor. Ayrıca, bir toplu iş dosyası kullanarak birincil işlevlerini tamamladıktan sonra faaliyetlerinin izlerini silerek operasyonel gizliliğini koruyor.
Shuyal, Chrome, Edge ve Tor’un yanı sıra Brave, Opera, OperaGx, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coccoc, Maxthon, 360browser, Ur, Avast ve Falkon gibi daha az bilinen tarayıcıları da hedefliyor.
Diğer çalıcılar gibi, Shuyal da tarayıcı ve sistem bilgilerine erişim ve bunları saldırgan kontrollü bir sunucuya sızdırma işlevselliğine sahip. Ancak Hybrid Analysis’e göre, bu yazılım kaçınma taktiklerini alışılmadık derecede gizli yollarla geliştiriyor.
Shuyal dağıtıldığında, kötü amaçlı yazılım “DisableTaskMgr” kayıt defteri değerini değiştirerek Windows Görev Yöneticisi’ni hemen devre dışı bırakıyor. Daha sonra, hedeflediği tarayıcıların bir listesinden oturum açma kimlik bilgilerine erişmeye çalışıyor. Yazılım, disk sürücülerinin model ve seri numaralarını, makineye kurulu klavye ve fare bilgilerini ve bilgisayara bağlı monitör ayrıntılarını almak için birden fazla işlem başlatıyor. Ayrıca, mevcut etkinliğin bir ekran görüntüsünü alıyor ve pano verilerini çalıyor.
Bu çalıcı, dışarı sızdırılacak verileri tutmak için “%TEMP%” dizininden bir klasörü sıkıştırmak için PowerShell kullanıyor. Bu veriler bir Telegram botu aracılığıyla aktarılıyor. Pasca, “Kötü amaçlı yazılım çok gizli çünkü yeni oluşturduğu dosyaları tarayıcıların veritabanlarından ve daha önce dışarı sızdırılan çalışma zamanı dizinindeki tüm dosyaları siliyor” diye gözlemledi.
Shuyal ayrıca, Başlangıç klasörüne kendini kopyalayarak kalıcılık sağlıyor.
Siber suç sahnesinde zaten çok sayıda çalıcı bulunsa da, tehdit ortamı kolluk kuvvetleri operasyonları ve diğer faktörler nedeniyle sürekli değişiyor. Mayıs ayında, bir FBI operasyonu güçlü Lumma çalıcı operasyonunu bozdu, ancak arkasındaki siber suçluların aynı güçle yeniden toparlanıyor gibi göründüğü belirtiliyor.
Hybrid Analysis, saldırganların Shuyal çalıcıyı nasıl dağıttığını açıklamadı. Ancak siber suçlular, sosyal medya gönderileri, oltalama kampanyaları, captcha sayfaları ve diğer yollarla diğer çalıcıları dağıttılar. Ayrıca, çalıcılar genellikle fidye yazılımı saldırıları, iş e-postası uzlaşması (BEC) ve diğer kurumsal tehdit türlerinin bir başlangıcı olarak kullanılıyor.
Bilgi çalan kötü amaçlı yazılımların temsil ettiği tehlike göz önüne alındığında, Pasca, savunmacıların Shuyal hakkındaki blog yazısında sunulan bilgileri kullanarak “daha etkili tespit ve savunma mekanizmaları” geliştirmelerini önerdi. Bu bilgiler, çalıcı tarafından oluşturulan dosyalar, başlatılan işlemler ve kötü amaçlı yazılımın veri sızdırmak için kullandığı Telegram botunun adresi dahil olmak üzere kapsamlı bir tehlike göstergeleri (IOC) listesini içeriyor.
