SHUYAL: il malware che ruba tutto e svanisce nel nulla

Di recente tracciamento, un nuovo infostealer, potrebbe aggiungersi alle minacce già note. Si chiama SHUYAL, una specie di tornado digitale: entra nel sistema, raccoglie ogni dato sensibile disponibile e si autoelimina, consegnando il bottino agli attaccanti tramite Telegram.

Un’operazione rapida e silenziosa

SHUYAL è stato analizzato dai ricercatori di Hybrid Analysis, che ne hanno documentato il comportamento aggressivo e la metodologia ben orchestrata. A differenza di molti infostealer tradizionali, questo malware non si limita a rubare password e cookie: esegue una vera e propria ricognizione completa del sistema prima di agire.

Inizia con una serie di comandi WMIC per raccogliere informazioni su:

• Modello e numero seriale degli hard disk.
• Dispositivi di input come tastiera e mouse.
• Monitor collegati.

Non contento, SHUYAL estrae anche il percorso dell’immagine di sfondo del desktop tramite PowerShell, dimostrando un’attenzione quasi maniacale per i dettagli.

Disabilitare le difese e nascondersi

Uno degli aspetti più insidiosi di SHUYAL è la sua capacità di neutralizzare il Task Manager e impedirne il riavvio modificando il registro di sistema:

Set-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name 'DisableTaskMgr' -Value 1

Inoltre, si assicura di persistere nel sistema copiandosi nella cartella di avvio automatico, garantendosi così l’esecuzione a ogni riavvio.

Il furto dei dati: browser, clipboard e screenshot

SHUYAL prende di mira 19 browser diversi, tra cui Chrome, Edge, Brave, Opera e persino Tor Browser. Il suo obiettivo principale sono le credenziali, che estrae decriptando i database Login Data e Local State utilizzando le API di Windows. I dati rubati includono:

• Credenziali salvate (con URL, username e password).
• Cronologia di navigazione.
• Token di Discord.
• Contenuti del clipboard.

Non solo: il malware scatta anche uno screenshot del desktop, salvandolo come ss.png, e archivia tutto in una cartella temporanea prima di inviarlo via Telegram.

La fuga perfetta

Dopo aver completato il furto, SHUYAL avvia la fase di auto-distruzione:

1. Crea un file BAT (util.bat) con le istruzioni per eliminare se stesso e i file temporanei.
2. Si assicura che il BAT venga eseguito dopo un ritardo di 3 secondi, per evitare blocchi.

@echo off  
timeout /t 3 /nobreak > NUL  
del "SHUYAL.exe"  
rd /s /q "%TEMP%\runtime"  
exit  

Telegram come canale di esfiltrazione

I dati vengono inviati a un bot Telegram attraverso l’API ufficiale, sfruttando un endpoint come:

hxxps[:]//api.telegram[.]org/bot<TOKEN>/sendDocument?chat_id=<CHAT_ID>

Questo approccio rende difficile il tracciamento, poiché Telegram è un servizio legittimo e ampiamente utilizzato.

SHUYAL rappresenta un’evoluzione preoccupante nel panorama degli infostealer. La sua capacità di agire rapidamente, coprire le proprie tracce e sfruttare canali legittimi per l’esfiltrazione lo rende particolarmente pericoloso.

Le soluzioni antivirus tradizionali potrebbero non bastare: è necessario un approccio proattivo, con monitoraggio continuo dei processi sospetti e delle modifiche al registro. In questo senso gli IoC seguenti possono aiutare.

IOC (Indicatori di Compromissione)

• SHA256: 810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
• File creati: runtime.zip, util.bat, saved_passwords.txt
• Processi sospetti: Comandi WMIC e PowerShell menzionati sopra.

Per ora, SHUYAL è un promemoria di quanto possano essere sofisticati gli attacchi moderni. E, purtroppo, è probabile che non sarà l’ultimo della sua specie.