SolyxImmortalは、感染したWindows環境から機密ファイル、Chromiumブラウザの認証情報、キーストロークを盗み出すことを目的として設計された、新興のPythonベース情報窃取マルウェアです。
Cyfirmaの公開脅威インテリジェンスレポートによると、このマルウェアはDiscord Webhookを悪用してデータをシームレスに外部送信します。
SolyxImmortalはトルコ人ユーザーを強く標的としており、その証拠として、Gmailやバンキングポータルでスクリーンショットをトリガーするためのトルコ語キーワードがハードコードされているほか、データ送信メッセージにもトルコ語のフレーズが埋め込まれています。
標準的なPythonライブラリとマルチスレッドを活用することで、SolyxImmortalは通常のシステム動作を妨げることなく、継続的な監視とデータ収集を実施します。
この悪意あるスクリプトは、OS操作、スレッド処理、暗号化ライブラリを含む15種類の標準Pythonモジュールを活用し、ペイロードを効率的に実行します。
初回実行時、SolyxImmortalはAPPDATAフォルダ(具体的にはWindowsGraphicsディレクトリ)に自身を複製することで、持続的な感染を確立します。
次に、CurrentVersion RunレジストリキーをSolyxImmortalが改ざんすることで、感染ユーザーがログインするたびにペイロードが自動実行される仕組みを構築します。
データの外部送信に備えて、マルウェアはローカルのTEMPフォルダ内にSolyx_Pack_Finalという名称の一時ステージングディレクトリを作成します。
SolyxImmortalはChromiumベースのブラウザのLocal Stateファイルから復号キーを体系的に抽出し、 SQLiteログインデータベースからユーザー名とパスワードを平文で直接取得できるようにします。
窃取されたこれらの認証情報は、「sifreler.txt」(トルコ語で「パスワード」を意味する)というテキストファイルに保存されます。
効率的なデータ転送を実現しタイムアウトエラーを回避するため、スクリプトは100バイトから10メガバイトのファイルのみを対象とし、システムディレクトリを除外してユーザー生成コンテンツに絞り込みます。
pulsediveの調査によると、SolyxImmortalはユーザーのすべてのキーストロークを記録してローカルバッファに保存する、継続稼働型のキーロガーを使用しています。
専用のPythonスレッドが60秒ごとにこのバッファをJSONデータにまとめ、攻撃者が管理するDiscordのインフラへ送信します。
また、このマルウェアは2分ごとに定期的なスクリーンショットも撮影します。さらに、アクティブウィンドウのタイトルが特定のバンキングやメール関連のキーワードと一致した場合には、即座にアドホックなスクリーンショットを撮影し、緊急アラートメッセージとともに画像を外部送信します。
注意: IPアドレスおよびドメインは、誤解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ、元の形式に戻して使用してください。
翻訳元: https://cyberpress.org/solyximmortal-steals-browser-credentials-2/