新型竊密軟體Shuyal鎖定19款瀏覽器　連Tor等隱私瀏覽器也難逃

資安研究人員發現一款精密的新型竊密軟體正在網路犯罪圈崛起，該惡意程式可攻擊多達19種瀏覽器，包括那些標榜高度隱私保護的小眾選項。惡意軟體分析平台Hybrid Analysis的研究人員將此竊密工具命名為「Shuyal」，並警告其具備先進的系統偵察與反偵測技術。

全方位瀏覽器攻擊能力

資安研究員Vlad Pasca表示，研究團隊根據可執行檔PDB路徑中發現的獨特識別碼，將這款先前未被記錄的竊密程式命名為Shuyal。該惡意軟體具備全面的瀏覽器攻擊能力，攻擊範圍從Chrome和Edge等主流瀏覽器，延伸到Tor等注重隱私的選項。

除了Chrome、Edge和Tor以外，Shuyal還鎖定多款小眾瀏覽器，包括Brave、Opera、OperaGX、Yandex、Vivaldi、Chromium、Waterfox、Epic、Comodo、Slimjet、Coccoc、Maxthon、360安全瀏覽器、Ur、Avast瀏覽器和Falko。

Shuyal不僅從瀏覽器竊取已儲存的登入憑證，還會透過系統偵察功能收集磁碟機、輸入裝置和顯示設定的詳細資訊。此外，它會截取系統畫面、擷取剪貼簿內容，並利用Telegram機器人將這些資料連同被竊取的Discord權杖一併外洩。

該惡意程式採用了「積極性防禦規避技術」，包括自動終止並停用Windows工作管理員。部署後會立即修改「DisableTaskMgr」登錄檔值來停用Windows工作管理員，接著開始存取目標瀏覽器列表中的登入憑證。

完整的資料外洩流程

這款竊密工具利用PowerShell壓縮存放在「%TEMP%」目錄中的資料夾，然後透過Telegram機器人將資料外洩。研究人員指出，此惡意程式具有極高的隱匿性，它會刪除瀏覽器資料庫中新建立的檔案以及先前已外洩的所有執行目錄檔案。

為維持長期潛伏，Shuyal還透過將自身複製到「啟動」資料夾來建立持久性駐留機制，確保系統重新啟動後仍能持續運作。

 雖然竊密軟體並非新興威脅，但受到執法機關掃蕩行動與市場變化影響，相關威脅態勢持續發生變化。今年5月，美國聯邦調查局（FBI）成功干擾了強大的Lumma竊密工具運作，但背後的網路犯罪集團似乎正迅速重組並恢復實力。

雖然Hybrid Analysis未揭露攻擊者如何散佈Shuyal竊密工具，但根據過往案例，網路犯罪集團通常利用社群媒體貼文、釣魚郵件、驗證碼頁面等管道來散佈此類惡意程式。值得注意的是，竊密工具常作為勒索軟體攻擊、商業電子郵件詐騙（BEC）和其他企業資安威脅的前兆。

防護建議

面對資訊竊取型惡意程式帶來的威脅，Pasca研究員建議資安防禦人員運用其部落格文章中提供的Shuyal相關情報，建立「更有效的偵測與防護機制」。這些情報包含完整的入侵指標(IOC)列表，涵蓋該竊密程式建立的檔案、啟動的處理程序，以及用於資料外洩的Telegram機器人位址。

企業應特別注意多層式防護策略，除了部署端點偵測與回應（EDR）解決方案外，也應加強員工資安意識訓練，避免點擊可疑連結或下載不明檔案，以降低感染風險。

本文轉載自 DarkReading。