“Shuyal Stealer — มัลแวร์ขโมยข้อมูลที่ล้วงลึกกว่าเดิม เจาะ 19 เบราว์เซอร์ ส่งข้อมูลผ่าน Telegram แล้วลบหลักฐานเกลี้ยง”
นักวิจัยจากทีม Lat61 ของ Point Wild ได้ค้นพบมัลแวร์สายใหม่ชื่อ “Shuyal Stealer” ซึ่งเป็น infostealer ที่มีความสามารถเหนือกว่ามัลแวร์ทั่วไป โดยสามารถขโมยข้อมูลจากเบราว์เซอร์ถึง 19 ตัว รวมถึง Tor, Chrome, Edge, Brave, Opera, Vivaldi, Yandex และเบราว์เซอร์ทางเลือกอื่น ๆ ที่มักไม่ถูกโจมตี
Shuyal Stealer ไม่เพียงขโมยรหัสผ่านจากไฟล์ “Login Data” ในเบราว์เซอร์เท่านั้น แต่ยังใช้คำสั่ง SQL เพื่อดึง URL, username และรหัสผ่านที่ถูกเข้ารหัสออกมาอย่างแม่นยำ นอกจากนี้ยังเก็บข้อมูลจาก clipboard, ถ่ายภาพหน้าจอ และดึง token จาก Discord เพื่อให้แฮกเกอร์เข้าใจบริบทการใช้งานของเหยื่อได้ลึกขึ้น
มัลแวร์ตัวนี้ยังใช้ Windows Management Instrumentation (WMI) เพื่อเก็บข้อมูลฮาร์ดแวร์ เช่น รุ่นของดิสก์ อุปกรณ์อินพุต และการตั้งค่าหน้าจอ เพื่อสร้าง “fingerprint” ของเครื่องเป้าหมาย ซึ่งช่วยให้แฮกเกอร์วางแผนโจมตีต่อได้อย่างแม่นยำ
เมื่อเก็บข้อมูลครบแล้ว Shuyal จะใช้ PowerShell บีบอัดไฟล์ทั้งหมดเป็น runtime.zip แล้วส่งผ่าน Telegram Bot API โดยใช้ token และ chat ID ที่ฝังอยู่ในโค้ด จากนั้นจะรัน batch script ชื่อ util.bat เพื่อลบไฟล์ทั้งหมดและลบร่องรอยการทำงาน ทำให้การตรวจสอบหลังเหตุการณ์แทบเป็นไปไม่ได้
ที่น่ากลัวคือ Shuyal ยังปิดการทำงานของ Task Manager โดยใช้ TerminateProcess และแก้ไข registry เพื่อป้องกันไม่ให้ผู้ใช้เปิด Task Manager ได้อีกเลย ทำให้มัลแวร์สามารถอยู่ในระบบได้นานโดยไม่ถูกตรวจพบ
นักวิจัยระบุว่า Shuyal Stealer เป็นมัลแวร์ที่ “ล้วงลึกและล่องหน” โดยมีความสามารถในการขโมยข้อมูลแบบครบวงจร และแนะนำให้ผู้ใช้ที่สงสัยว่าติดมัลแวร์นี้ รีบเข้าสู่ Safe Mode พร้อม Networking และสแกนด้วยโปรแกรมป้องกันไวรัสที่เชื่อถือได้ทันที
ข้อมูลสำคัญจากข่าว
Shuyal Stealer เป็นมัลแวร์ประเภท infostealer ที่โจมตีเบราว์เซอร์ถึง 19 ตัว
ใช้ SQL query เพื่อดึงข้อมูลจากไฟล์ “Login Data” ในเบราว์เซอร์
เก็บข้อมูลจาก clipboard, ภาพหน้าจอ และ Discord token
ใช้ WMI เพื่อเก็บข้อมูลฮาร์ดแวร์และสร้าง fingerprint ของเครื่อง
บีบอัดข้อมูลด้วย PowerShell แล้วส่งผ่าน Telegram Bot API
ใช้ batch script ลบไฟล์และร่องรอยหลังส่งข้อมูล
ปิด Task Manager โดยใช้ TerminateProcess และแก้ registry
ตรวจพบโดยทีม Lat61 ของ Point Wild และมีชื่อมัลแวร์ว่า Trojan.W64.100925.Shuyal.YR
ข้อมูลเสริมจากภายนอก
infostealer เป็นมัลแวร์ที่เน้นขโมยข้อมูล credential และ session token
Telegram ถูกใช้เป็นช่องทางส่งข้อมูลเพราะมี API ที่เข้าถึงง่ายและปลอดภัย
Discord token สามารถใช้ยึดบัญชีและเข้าถึงเซิร์ฟเวอร์ได้โดยไม่ต้องรหัสผ่าน
WMI เป็นเครื่องมือที่ใช้ใน Windows สำหรับจัดการระบบและมักถูกใช้ในมัลแวร์
การปิด Task Manager เป็นเทคนิคที่ใช้ในมัลแวร์หลายตัวเพื่อหลบการตรวจจับ
https://hackread.com/shuyal-stealer-web-browsers-login-data-discord-tokens/
นักวิจัยจากทีม Lat61 ของ Point Wild ได้ค้นพบมัลแวร์สายใหม่ชื่อ “Shuyal Stealer” ซึ่งเป็น infostealer ที่มีความสามารถเหนือกว่ามัลแวร์ทั่วไป โดยสามารถขโมยข้อมูลจากเบราว์เซอร์ถึง 19 ตัว รวมถึง Tor, Chrome, Edge, Brave, Opera, Vivaldi, Yandex และเบราว์เซอร์ทางเลือกอื่น ๆ ที่มักไม่ถูกโจมตี
Shuyal Stealer ไม่เพียงขโมยรหัสผ่านจากไฟล์ “Login Data” ในเบราว์เซอร์เท่านั้น แต่ยังใช้คำสั่ง SQL เพื่อดึง URL, username และรหัสผ่านที่ถูกเข้ารหัสออกมาอย่างแม่นยำ นอกจากนี้ยังเก็บข้อมูลจาก clipboard, ถ่ายภาพหน้าจอ และดึง token จาก Discord เพื่อให้แฮกเกอร์เข้าใจบริบทการใช้งานของเหยื่อได้ลึกขึ้น
มัลแวร์ตัวนี้ยังใช้ Windows Management Instrumentation (WMI) เพื่อเก็บข้อมูลฮาร์ดแวร์ เช่น รุ่นของดิสก์ อุปกรณ์อินพุต และการตั้งค่าหน้าจอ เพื่อสร้าง “fingerprint” ของเครื่องเป้าหมาย ซึ่งช่วยให้แฮกเกอร์วางแผนโจมตีต่อได้อย่างแม่นยำ
เมื่อเก็บข้อมูลครบแล้ว Shuyal จะใช้ PowerShell บีบอัดไฟล์ทั้งหมดเป็น runtime.zip แล้วส่งผ่าน Telegram Bot API โดยใช้ token และ chat ID ที่ฝังอยู่ในโค้ด จากนั้นจะรัน batch script ชื่อ util.bat เพื่อลบไฟล์ทั้งหมดและลบร่องรอยการทำงาน ทำให้การตรวจสอบหลังเหตุการณ์แทบเป็นไปไม่ได้
ที่น่ากลัวคือ Shuyal ยังปิดการทำงานของ Task Manager โดยใช้ TerminateProcess และแก้ไข registry เพื่อป้องกันไม่ให้ผู้ใช้เปิด Task Manager ได้อีกเลย ทำให้มัลแวร์สามารถอยู่ในระบบได้นานโดยไม่ถูกตรวจพบ
นักวิจัยระบุว่า Shuyal Stealer เป็นมัลแวร์ที่ “ล้วงลึกและล่องหน” โดยมีความสามารถในการขโมยข้อมูลแบบครบวงจร และแนะนำให้ผู้ใช้ที่สงสัยว่าติดมัลแวร์นี้ รีบเข้าสู่ Safe Mode พร้อม Networking และสแกนด้วยโปรแกรมป้องกันไวรัสที่เชื่อถือได้ทันที
ข้อมูลสำคัญจากข่าว
Shuyal Stealer เป็นมัลแวร์ประเภท infostealer ที่โจมตีเบราว์เซอร์ถึง 19 ตัว
ใช้ SQL query เพื่อดึงข้อมูลจากไฟล์ “Login Data” ในเบราว์เซอร์
เก็บข้อมูลจาก clipboard, ภาพหน้าจอ และ Discord token
ใช้ WMI เพื่อเก็บข้อมูลฮาร์ดแวร์และสร้าง fingerprint ของเครื่อง
บีบอัดข้อมูลด้วย PowerShell แล้วส่งผ่าน Telegram Bot API
ใช้ batch script ลบไฟล์และร่องรอยหลังส่งข้อมูล
ปิด Task Manager โดยใช้ TerminateProcess และแก้ registry
ตรวจพบโดยทีม Lat61 ของ Point Wild และมีชื่อมัลแวร์ว่า Trojan.W64.100925.Shuyal.YR
ข้อมูลเสริมจากภายนอก
infostealer เป็นมัลแวร์ที่เน้นขโมยข้อมูล credential และ session token
Telegram ถูกใช้เป็นช่องทางส่งข้อมูลเพราะมี API ที่เข้าถึงง่ายและปลอดภัย
Discord token สามารถใช้ยึดบัญชีและเข้าถึงเซิร์ฟเวอร์ได้โดยไม่ต้องรหัสผ่าน
WMI เป็นเครื่องมือที่ใช้ใน Windows สำหรับจัดการระบบและมักถูกใช้ในมัลแวร์
การปิด Task Manager เป็นเทคนิคที่ใช้ในมัลแวร์หลายตัวเพื่อหลบการตรวจจับ
https://hackread.com/shuyal-stealer-web-browsers-login-data-discord-tokens/
🕵️♂️ “Shuyal Stealer — มัลแวร์ขโมยข้อมูลที่ล้วงลึกกว่าเดิม เจาะ 19 เบราว์เซอร์ ส่งข้อมูลผ่าน Telegram แล้วลบหลักฐานเกลี้ยง”
นักวิจัยจากทีม Lat61 ของ Point Wild ได้ค้นพบมัลแวร์สายใหม่ชื่อ “Shuyal Stealer” ซึ่งเป็น infostealer ที่มีความสามารถเหนือกว่ามัลแวร์ทั่วไป โดยสามารถขโมยข้อมูลจากเบราว์เซอร์ถึง 19 ตัว รวมถึง Tor, Chrome, Edge, Brave, Opera, Vivaldi, Yandex และเบราว์เซอร์ทางเลือกอื่น ๆ ที่มักไม่ถูกโจมตี
Shuyal Stealer ไม่เพียงขโมยรหัสผ่านจากไฟล์ “Login Data” ในเบราว์เซอร์เท่านั้น แต่ยังใช้คำสั่ง SQL เพื่อดึง URL, username และรหัสผ่านที่ถูกเข้ารหัสออกมาอย่างแม่นยำ นอกจากนี้ยังเก็บข้อมูลจาก clipboard, ถ่ายภาพหน้าจอ และดึง token จาก Discord เพื่อให้แฮกเกอร์เข้าใจบริบทการใช้งานของเหยื่อได้ลึกขึ้น
มัลแวร์ตัวนี้ยังใช้ Windows Management Instrumentation (WMI) เพื่อเก็บข้อมูลฮาร์ดแวร์ เช่น รุ่นของดิสก์ อุปกรณ์อินพุต และการตั้งค่าหน้าจอ เพื่อสร้าง “fingerprint” ของเครื่องเป้าหมาย ซึ่งช่วยให้แฮกเกอร์วางแผนโจมตีต่อได้อย่างแม่นยำ
เมื่อเก็บข้อมูลครบแล้ว Shuyal จะใช้ PowerShell บีบอัดไฟล์ทั้งหมดเป็น runtime.zip แล้วส่งผ่าน Telegram Bot API โดยใช้ token และ chat ID ที่ฝังอยู่ในโค้ด จากนั้นจะรัน batch script ชื่อ util.bat เพื่อลบไฟล์ทั้งหมดและลบร่องรอยการทำงาน ทำให้การตรวจสอบหลังเหตุการณ์แทบเป็นไปไม่ได้
ที่น่ากลัวคือ Shuyal ยังปิดการทำงานของ Task Manager โดยใช้ TerminateProcess และแก้ไข registry เพื่อป้องกันไม่ให้ผู้ใช้เปิด Task Manager ได้อีกเลย ทำให้มัลแวร์สามารถอยู่ในระบบได้นานโดยไม่ถูกตรวจพบ
นักวิจัยระบุว่า Shuyal Stealer เป็นมัลแวร์ที่ “ล้วงลึกและล่องหน” โดยมีความสามารถในการขโมยข้อมูลแบบครบวงจร และแนะนำให้ผู้ใช้ที่สงสัยว่าติดมัลแวร์นี้ รีบเข้าสู่ Safe Mode พร้อม Networking และสแกนด้วยโปรแกรมป้องกันไวรัสที่เชื่อถือได้ทันที
✅ ข้อมูลสำคัญจากข่าว
➡️ Shuyal Stealer เป็นมัลแวร์ประเภท infostealer ที่โจมตีเบราว์เซอร์ถึง 19 ตัว
➡️ ใช้ SQL query เพื่อดึงข้อมูลจากไฟล์ “Login Data” ในเบราว์เซอร์
➡️ เก็บข้อมูลจาก clipboard, ภาพหน้าจอ และ Discord token
➡️ ใช้ WMI เพื่อเก็บข้อมูลฮาร์ดแวร์และสร้าง fingerprint ของเครื่อง
➡️ บีบอัดข้อมูลด้วย PowerShell แล้วส่งผ่าน Telegram Bot API
➡️ ใช้ batch script ลบไฟล์และร่องรอยหลังส่งข้อมูล
➡️ ปิด Task Manager โดยใช้ TerminateProcess และแก้ registry
➡️ ตรวจพบโดยทีม Lat61 ของ Point Wild และมีชื่อมัลแวร์ว่า Trojan.W64.100925.Shuyal.YR
✅ ข้อมูลเสริมจากภายนอก
➡️ infostealer เป็นมัลแวร์ที่เน้นขโมยข้อมูล credential และ session token
➡️ Telegram ถูกใช้เป็นช่องทางส่งข้อมูลเพราะมี API ที่เข้าถึงง่ายและปลอดภัย
➡️ Discord token สามารถใช้ยึดบัญชีและเข้าถึงเซิร์ฟเวอร์ได้โดยไม่ต้องรหัสผ่าน
➡️ WMI เป็นเครื่องมือที่ใช้ใน Windows สำหรับจัดการระบบและมักถูกใช้ในมัลแวร์
➡️ การปิด Task Manager เป็นเทคนิคที่ใช้ในมัลแวร์หลายตัวเพื่อหลบการตรวจจับ
https://hackread.com/shuyal-stealer-web-browsers-login-data-discord-tokens/
0 Comments
0 Shares
28 Views
0 Reviews
Thai