SolyxImmortal 代表了针对 Windows 系统的信息窃取恶意软件的一项显著进步。
这种基于 Python 的威胁将多种数据窃取功能集成到一个持久性植入程序中,旨在进行长期监视,而不是进行破坏性活动。
该恶意软件在后台静默运行,收集凭据、文档、击键和屏幕截图,同时通过 Discord webhook 将窃取的信息直接发送给攻击者。
它于 2026 年 1 月出现,标志着向更隐蔽的作战模式转变,这种模式优先考虑持续监控而不是快速利用。
攻击途径的核心是将恶意软件分发给目标系统,该恶意软件被打包成一个名为“Lethalcompany.py”的看似合法的Python 脚本。
SolyxImmortal 一旦执行,便会立即通过多种机制建立持久性,并启动后台监控线程。
该恶意软件不会横向传播或自我扩散;相反,它完全专注于从单个受感染的设备中收集数据。这种专注的方法使攻击者能够在不引起注意的情况下长期监控用户活动。
Cyfirma 分析师认定SolyxImmortal 是一种复杂的威胁,它利用合法的 Windows API 和受信任的平台进行命令和控制通信。
该恶意软件的设计体现了其运营成熟度,强调可靠性和隐蔽性而非复杂性。
攻击者利用 Discord webhook 进行数据传输,利用该平台的信誉和 HTTPS 加密来规避基于网络的检测。
这种技术表明,威胁行为者越来越多地滥用合法服务来隐藏恶意活动。
该恶意软件通过将自身复制到 AppData 目录中的隐藏位置,并将其重命名以使其看起来像合法的 Windows 组件,从而建立持久性。
然后,它会在 Windows 注册表运行项中注册自身,确保每次用户登录时自动执行,而无需管理员权限。
这种方法可以保证系统重启后仍能继续运行。
SolyxImmortal 通过访问多个浏览器的配置文件目录,针对包括 Chrome、Edge、Brave 和 Opera GX 在内的多个浏览器进行攻击。
该恶意软件使用 Windows DPAPI 提取浏览器主加密密钥,然后通过 AES-GCM 加密解密存储的凭据。
恢复的凭证在泄露前以明文格式出现,表明本地安全措施极少。
该恶意软件还会扫描用户的主目录,查找具有特定扩展名(如 .pdf、.docx 和 .xlsx)的文件,并按文件大小筛选结果以避免网络开销,从而收集文档。
所有被盗数据都会被压缩成 ZIP 存档,并传输到攻击者控制的 Discord webhook,从而完成数据盗窃循环。
