SolyxImmortalは、感染したWindows環境から機密ファイル、Chromiumブラウザの認証情報、キーストロークを抽出することを目的とした、新興のPythonベース情報窃取マルウェアです。
Cyfirmaが公開した脅威インテリジェンスレポートによれば、このマルウェアはDiscord Webhookを悪用してデータを効率よく外部に流出させています。
SolyxImmortalは主にトルコ人ユーザーを標的としており、Gmailやバンキングポータルでスクリーンショットのトリガーとして使われるトルコ語のハードコードされたキーワードや、データ流出メッセージに埋め込まれたローカライズされたフレーズからもその意図が明らかです。
ネイティブのPythonライブラリとマルチスレッドを活用することで、SolyxImmortalは通常のシステム動作を妨げることなく、継続的な監視とデータ収集を実施します。
この悪意あるスクリプトは、OS操作、スレッド処理、暗号化ライブラリを含む15種類の標準Pythonモジュールを活用し、ペイロードを効果的に実行します。
初回実行時、SolyxImmortalはAPPDATAフォルダ(具体的にはWindowsGraphicsディレクトリ)に自身を複製することで、永続性を確立します。
次に、CurrentVersion Runレジストリキーを改ざんし、感染したユーザーがログインするたびにペイロードが自動的に実行されるように設定します。
データ流出の準備として、マルウェアはローカルのTEMPフォルダ内にSolyx_Pack_Finalという名前の一時的なステージングディレクトリを作成します。
SolyxImmortalはChromiumベースのブラウザのLocal Stateファイルから復号キーを体系的に抽出し、SQLiteログインデータベースからユーザー名とパスワードを平文で直接取得できるようにします。
窃取された認証情報は「sifreler.txt」(トルコ語で「パスワード」を意味する)というテキストファイルに保存されます。
効率的なデータ転送を確保しタイムアウトエラーを回避するため、スクリプトは100バイトから10メガバイトの範囲のファイルのみを対象とし、システムディレクトリを無視してユーザーが生成したコンテンツだけを処理します。
pulsediveの調査によれば、SolyxImmortalはすべてのユーザーキーストロークを記録してローカルバッファに保存する、継続的なキーロガー機能を備えています。
60秒ごとに、専用のPythonスレッドがこのバッファをJSONデータにまとめ、攻撃者が管理するDiscordインフラに送信します。
また、マルウェアは2分ごとに定期的なスクリーンキャプチャを実行します。さらに、アクティブウィンドウのタイトルが特定のバンキングやメールに関連するキーワードと一致した場合には、アドホックでスクリーンショットを撮影し、緊急アラートメッセージとともに即座に外部へ送信します。
注記: IPアドレスとドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にdefang処理(例:[.])が施されています。元の形式への復元は、MISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内のみで行ってください。
翻訳元: https://cyberpress.org/solyximmortal-steals-browser-credentials/