コンテンツにスキップするには Enter キーを押してください

高度なShuyal Stealerが19種類のブラウザを標的に、高度な回避技術を実証

投稿日 2025年7月29日

緑色の南京錠アイコンが強調表示されたブラウザインターフェースの上部

出典:Robert Augustin(Shutterstock経由)

高度な新しい情報窃取型マルウェアがサイバー犯罪の現場に登場し、先進的なプライバシーを提供すると考えられていたマイナーなブラウザを含む19種類のブラウザから機密データを盗み出す能力を持っています。

Hybrid Analysisの研究者によって「Shuyal」と名付けられたこのスティーラーは、最近のブログ投稿によると、高度なシステム偵察および回避戦術も実証しています。また、認証情報以外の情報も標的とし、被害者のマシンにロードされると永続性を確立します。

「実行ファイルのPDBパスで発見されたユニークな識別子に基づきSHUYALと名付けられたこの未公開のスティーラーは、ChromeやEdgeのような主流のアプリケーションから、Torのようなプライバシー重視のオプションまで、19種類の異なるブラウザから認証情報を取得する包括的なブラウザ標的化を実現しています」とHybrid Analysisの研究者Vlad Pascaは投稿で述べています。

通常のスティーラーが行うブラウザに保存された認証情報の窃取に加え、Shuyalはシステム偵察を利用してディスクドライブ、入力デバイス、ディスプレイ構成に関する詳細情報を収集します。さらに、システムのスクリーンショットやクリップボードの内容も取得し、盗まれたDiscordトークンとともにTelegramボットのインフラを通じてこれらのデータを流出させます。

また、このマルウェアはPascaが「積極的な防御回避技術」と呼ぶものを採用しており、Windowsタスクマネージャーの自動終了および無効化を含みます。さらに、自己削除メカニズムによって運用上のステルス性を維持し、主要な機能を完了した後にバッチファイルを使用して活動の痕跡を消去します。

Chrome、Edge、Torに加え、ShuyalはBrave、Opera、OperaGx、Yandex、Vivaldi、Chromium、Waterfox、Epic、Comodo、Slimjet、Coccoc、Maxthon、360browser、Ur、Avast、Falkoなどのあまり知られていないブラウザも標的としています。

Shuyalの動作

他のスティーラーと同様に、Shuyalはブラウザやシステム情報へアクセスし、それを攻撃者が管理するサーバーに流出させる機能を持っています。また、Hybrid Analysisによれば、異常なほどステルス性の高い方法で回避戦術を強化しています。

Shuyalが展開されると、マルウェアは直ちに「DisableTaskMgr」レジストリ値を変更してマシン上のWindowsタスクマネージャーを無効化します。その後、標的とする前述のブラウザからログイン認証情報の取得を試みます。マルウェアは複数のプロセスを生成し、利用可能なディスクドライブのモデルやシリアル番号、マシンに接続されたキーボードやマウスの情報、コンピュータに接続されたモニターの詳細を取得します。また、現在のアクティビティのスクリーンショットを撮影し、クリップボードデータも盗みます。

このスティーラーはPowerShellを使用して、「%TEMP%」ディレクトリからフォルダを圧縮し、最終的に流出させるデータを保持します。流出はTelegramボット経由で行われます。「このマルウェアは非常にステルス性が高く、新たに作成されたファイルをブラウザのデータベースから削除し、実行時ディレクトリからも流出済みの全ファイルを削除します」とPascaは指摘しています。

Shuyalはまた、永続性を確立するために、自身をスタートアップフォルダにコピーします。

スティーラーの進化

すでにサイバー犯罪の現場には多数のスティーラーが存在しますが、脅威の状況は法執行機関の活動やその他の要因によって常に変化しています。5月にはFBIの作戦により強力なLummaスティーラーの活動が妨害されましたが、その背後にいるサイバー犯罪者たちは再び同等の勢力で再編成しているようです

Hybrid Analysisは攻撃者がShuyalスティーラーをどのように配布しているかは明らかにしていませんが、サイバー犯罪者は他のスティーラーをSNS投稿、フィッシングキャンペーン、キャプチャページなど様々な手段で配布してきました。さらに、スティーラーはしばしばランサムウェア攻撃やビジネスメール詐欺(BEC)、その他の企業脅威の前兆となることが多いです。

情報窃取型マルウェアがもたらす危険性を考慮し、Pascaは防御側に対し、Shuyalに関するブログ投稿で提供されている知見を活用して「より効果的な検知および防御メカニズム」を開発することを推奨しています。知見には、スティーラーによって作成されたファイルを含む侵害の指標(IOC)の包括的リスト、生成されたプロセス、マルウェアがデータ流出に使用するTelegramボットのアドレスなどが含まれます。

翻訳元: https://www.darkreading.com/endpoint-security/shuyal-stealer-targets-19-browsers-advanced-evasion

Published in darkreading.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です