

一款名为SolyxImmortal的新型Python恶意软件被发现正在窃取受感染Windows系统中的浏览器密码、Cookie、敏感文件和键盘记录。该恶意软件利用知名Python库和多线程技术同步执行操作,使其在后台运行时更难被检测。
该恶意软件的显著特点是其明显针对土耳其语用户。其代码中嵌入了多个与银行网站、Gmail登录和登录页面相关的土耳其语关键词。当活动窗口标题匹配这些关键词时,会触发针对性截图功能,表明作者针对特定目标群体。
Part01
数据窃取机制
研究人员表示,该恶意软件利用Discord webhook作为数据外泄通道。窃取信息后,恶意软件将所有数据打包并直接发送至攻击者控制的Discord频道,数据到达时会标记预定义的用户ID。
该恶意软件首次出现在公开威胁数据库中,样本可在Malware Bazaar获取。虽然分析样本不包含活动的webhook URL,但Cyfirma早前的公开报告显示,实际版本指向真实的Discord端点。

Part02
持久化与数据收集
该恶意软件文件本身是一个小型Python脚本,仅略超过10,000字节,但能对受感染系统造成严重危害。一旦进入系统,SolyxImmortal会立即建立持久化机制:将自身复制到APPDATA文件夹,伪装成Windows图形驱动程序文件,并设置注册表键值在用户每次登录时运行,确保恶意软件在重启后仍保持活动状态。
该恶意软件运行时会广泛收集数据:
Part03
隐蔽技术与防御建议
该恶意软件采用多种技巧避免检测:

安全团队和组织可采取以下措施降低风险:
Part04
入侵指标

注:IP地址和域名已故意进行无害化处理(如使用_[.]_),以防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。
参考来源:
SolyxImmortal Python Malware Steals Browser Passwords, Cookies, Files, and Keystrokes
https://cybersecuritynews.com/solyximmortal-python-malware/



