一种名为SolyxImmortal的新型Python恶意软件正在Windows系统上悄然活动,专门窃取浏览器密码、Cookie、敏感文件以及键盘输入记录。这款恶意软件利用常见的Python库和多线程技术同时执行多项操作,使其在后台运行时更难被检测到。研究人员向网络安全媒体披露,该恶意软件使用Discord Webhook作为数据外泄通道。一旦收集完信息,它会将数据打包直接发送到攻击者控制的Discord频道,并在数据到达时标记一个预定义的用户ID。
SolyxImmortal最显著的特点是其明显针对土耳其语用户。代码中嵌入了多个土耳其语关键词,包括与银行网站、Gmail登录和登录页面相关的词汇。每当活动窗口标题匹配这些关键词时,就会触发定向截图捕获,表明攻击者有着非常具体的受众目标。该恶意软件首次出现在公共威胁数据库中,样本可在恶意软件样本库获取。虽然分析样本未包含活跃的Webhook URL,但早期公开报告显示,活跃版本确实指向真实的Discord端点。
恶意软件本身是一个小巧的Python脚本,大小刚过万字节,却能对被感染的系统造成严重损害。一旦进入系统,它会立即建立自身存在。它将自身复制到APPDATA文件夹,伪装成Windows图形驱动程序文件,并设置注册表项以确保用户每次登录时运行。这种机制保证了恶意软件在重启后仍能保持活跃,无需攻击者进行任何额外操作。恶意软件从运行之初就开始针对广泛的数据。它通过读取本地数据库并使用AES解密存储的凭证,从Chromium内核浏览器中提取保存的密码。所有被窃取的凭证保存在一个名为sifreler.txt的文件中,这个词在土耳其语中意为密码。除了密码,恶意软件还会通过直接复制浏览器Cookie数据库到暂存文件夹来获取Firefox的Cookie。随后,它会遍历用户的主目录,寻找特定格式的文档文件,将符合条件的文件复制并打包成ZIP存档,最后上传到Discord。
键盘记录器在单独的线程中运行,记录用户的每一次击键。每60秒,收集到的击键数据会被打包成JSON格式发送给攻击者。屏幕捕获功能以两种模式运行:每两分钟一次的常规截图,以及当活动窗口标题出现敏感关键词时触发的即时截图。为了躲避检测,恶意软件使用了多种技巧。它将自身保存为win_gfx_driver.exe,并将文件属性设置为隐藏和系统级,使其在常规文件浏览中不可见。它创建的注册表项WindowsGfxDriver听起来像合法的Windows组件,在例行系统检查中很容易被忽略。数据通过Discord自己的Web API离开受感染机器,使用Python的请求库发送,将恶意流量混入正常的网页活动中。使用Discord这类流行平台作为命令通道正在成为恶意软件的流行趋势,因为它很少被防火墙拦截,看起来就像普通的用户流量。安全团队和组织可以采取一些切实可行的措施来降低风险。部署端点检测和响应工具有助于标记可能表示感染的异常进程行为。将Python执行限制在真正需要它的用户范围内可以减小攻击面。培训用户识别钓鱼邮件和可疑附件,仍然是防御依赖用户交互获得初始立足点的恶意软件最可靠的方法之一。