Shuyal Stealer ataca 17 navegadores web

Iniciado por AXCESS, Octubre 08, 2025, 11:13:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 08, 2025, 11:13:07 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Investigadores de ciberseguridad del Equipo de Inteligencia de Amenazas Lat61 de Point Wild han descubierto un nuevo ladrón de información (stealer) llamado Shuyal Stealer, una cepa de malware diseñada para robar credenciales de inicio de sesión no de uno ni dos, sino de 17 navegadores web diferentes.

Cómo Shuyal Stealer perfila y explota los sistemas

Shuyal Stealer también es capaz de perfilar a fondo las máquinas objetivo, recopilando información sobre discos, dispositivos de entrada y configuraciones de pantalla mediante comandos de Instrumental de Administración de Windows. Este tipo de mapeo de dispositivos proporciona a los atacantes una imagen clara del sistema de la víctima, que puede utilizarse para el robo de identidad selectivo u otros ataques posteriores.

El malware también captura datos contextuales que muchos ladrones de información ignoran. Toma capturas de pantalla, registra el contenido del portapapeles y extrae tokens de autenticación de Discord. Estas capacidades permiten a los atacantes obtener información real sobre lo que la víctima está haciendo en su dispositivo, lo que puede convertir un simple robo de contraseña en un robo completo de la cuenta y obtener más información sobre las actividades en línea de la víctima que cualquier otro malware.

Métodos de exfiltración y persistencia de datos

Según la publicación del blog Lat61, el malware comprime los archivos recopilados con PowerShell y los envía a través de un bot de Telegram codificado. Los investigadores encontraron un token de bot específico y un ID de chat utilizados para enviar el archivo directamente a la cuenta del atacante. Una vez completada la transferencia, Shuyal elimina el archivo y borra los rastros para complicar el trabajo forense.

Shuyal copia silenciosamente su ejecutable en la carpeta de inicio de Windows mediante la API CopyFileA. También cierra los procesos del Administrador de tareas y modifica el registro para desactivarlo por completo, impidiendo que los usuarios lo detecten o lo detengan.

Flujo de la cadena de infección


Robo de datos y ataques a navegadores

Al analizar cómo roba datos, los investigadores de Point Wild destacaron la eficiencia de Shuyal. Busca específicamente el archivo "Datos de inicio de sesión" en los directorios del navegador, ejecutando una consulta SQL para extraer URL, nombres de usuario y contraseñas cifradas.

Cada sesión o token robado se guarda localmente y luego se comprime para su exfiltración. Archivos como tokens.txt, clipboard.txt y ss.png documentan diferentes partes de la vida digital de la víctima, desde contraseñas guardadas hasta texto copiado y ventanas activas. El malware mantiene un registro en formato history.txt de los navegadores y aplicaciones que analizó.

A continuación, se muestra la lista de navegadores afectados:

Tor
Edge
Epic
Brave
Opera
Vivaldi
CocCoc
Maxthon
Chromium
Waterfox
Comodo
Slimjet
Yandex
Falkon
Chrome
Opera GX
360 Browser

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Autoeliminación, análisis experto y mitigación

Tras finalizar la exfiltración, Shuyal ejecuta una rutina de autoeliminación. Ejecuta un script por lotes llamado util.bat que elimina el archivo comprimido y los archivos relacionados, lo que dificulta la respuesta y la atribución de incidentes.

El Dr. Zulfikar Ramzan, director de tecnología de Point Wild y jefe del equipo de inteligencia de amenazas de Lat61, resumió la amenaza como un potente ladrón de información que ataca a numerosos navegadores, desactiva el Administrador de tareas y envía silenciosamente los datos recopilados a través de Telegram, eliminando posteriormente sus rastros.

"Shuyal es un ladrón de información extraordinario, diseñado para ser amplio y discreto. Robó credenciales de los navegadores, desactivó el Administrador de tareas de Windows y exfiltró datos silenciosamente a través de Telegram. Es un robo masivo y luego desaparece", afirmó.

A diferencia de otros ladrones de información, Shuyal Stealer representa un riesgo tanto para la privacidad como para la seguridad, ya que roba credenciales y datos contextuales que permiten a los atacantes convertir los secretos robados en robos de cuentas. Su combinación de creación de perfiles del sistema, amplia cobertura de navegadores y proceso de limpieza lo sitúa entre los ladrones de información más potentes de la actualidad.

Si sospecha que está infectado, Point Wild recomienda reiniciar en modo seguro con funciones de red y analizar el sistema con un antivirus fiable. El malware se detecta como Trojan.W64.100925.Shuyal.YR.

Fuente:
HackRead
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario