Tout nouveau, tout vilain, l'infostealer -voleur d'informations ou de données- Shuyal Stealer cible 19 navigateurs différents. Le malware collecte aussi des captures d'écran, le contenu du presse-papiers et désactive le Gestionnaire des tâches de Windows.
Heureusement que l'équipe de renseignement sur les menaces Lat61 a publié ltout récemment une analyse détaillée de Shuyal Stealer ! Car ce logiciel malveillant diffère des infostealers classiques qui visent principalement Chrome et Edge. Shuyal ratisse large. Il s'attaque à 19 navigateurs, parmi lesquels Tor, Brave, Opera GX, Yandex, Vivaldi, Chromium, Waterfox, Epic, Comodo, Slimjet, Coc Coc, Maxthon, 360 Browser et Falkon. Un tel éventail couvre un nombre important de plateformes et différentes régions géographiques. Le malware va toutefois bien plus loin que le simple vol de mots de passe sur les navigateurs Web.
Shuyal Stealer collecte des informations système très précises
Le logiciel malveillant exécute des commandes WMI (Windows Management Instrumentation) pour extraire des données matérielles détaillées. Il récupère les spécifications des disques durs, les identifiants des périphériques d'entrée et les configurations d'affichage. Ces informations construisent une empreinte complète de la machine infectée.
Shuyal capture également le contenu du presse-papiers et effectue des captures d'écran. L'image est sauvegardée sous le nom « ss.png ». Le malware récupère les jetons d'authentification des installations Discord, Discord Canary et Discord PTB. Toutes ces données sont stockées dans un répertoire « runtime » créé par l'exécutable malveillant.
Le voleur utilise une requête SQL ciblée pour extraire les identifiants de connexion directement des bases de données SQLite des navigateurs. La commande « SELECT origin_url, username_value, password_value FROM logins » récupère les URL, les noms d'utilisateur et les mots de passe chiffrés. Les fichiers décryptés sont ensuite enregistrés dans « saved_password.txt ».
Le malware désactive le Gestionnaire des tâches et s'auto-supprime après exfiltration
Shuyal analyse les processus actifs pour identifier taskmgr.exe dès son exécution. Une fois localisé, il arrête de force le Gestionnaire des tâches grâce à la méthode TerminateProcess. Le malware modifie ensuite le registre Windows en définissant la valeur DisableTaskMgr à 1. Cette action empêche l'utilisateur de surveiller ou d'arrêter les processus malveillants.
Pour assurer sa persistance, Shuyal utilise l'API CopyFileA et se réplique dans le dossier de démarrage de Windows. Il s'exécute automatiquement à chaque redémarrage du système.
Le logiciel malveillant compresse les fichiers volés dans une archive « runtime.zip » via PowerShell. Il exfiltre ensuite les données à l'aide d'un bot Telegram. Le jeton du bot et l'identifiant du chat sont codés en dur dans l'exécutable. Une fois l'exfiltration terminée, Shuyal génère et exécute un fichier batch nommé « util.bat ». Ce script efface le malware et ses composants pour minimiser les preuves forensiques.
Quoi qu'il en soit, sachez que les infostealers gagnent du terrain. D'après un rapport de KELA publié en février 2025, ces malwares ont compromis 3,9 milliards d'identifiants provenant de millions d'appareils infectés. Le rapport indique aussi que les ordinateurs personnels non partagés sont les plus touchés et constituent 35,7 % des infections. Au premier semestre 2025, KELA a recensé 2,67 millions de machines infectées par des infostealers, qui ont exposé plus de 204 millions d'identifiants compromis.
Alors mieux vaut éviter de stocker les informations confidentielles dans le navigateur. Les gestionnaires de mots de passe sécurisés peuvent aussi héberger les informations de paiement et ne dépendent pas des failles du navigateur ou du système. L'authentification à deux facteurs renforce la protection des comptes Internet. Même si un attaquant obtient vos identifiants, il ne pourra pas accéder à vos comptes sans le second facteur. Télécharger des logiciels piratés, des cracks ou ouvrir des pièces jointes d'e-mails non sollicités est une très mauvaise idée.
Source : Point Wild
