新たに発見された情報窃取型マルウェア「SolyxImmortal」が、Windowsユーザーを標的とする持続的な監視脅威として出現しました。
地下のTelegramチャンネルを通じて配布されるこのPythonベースのインプラントは、認証情報の窃取、文書の収集、キーストロークの記録、画面キャプチャ機能を、バックグラウンドで静かに動作し続ける常時稼働の監視フレームワークに統合しています。
2026年1月に初めて検知されたこのマルウェアは、迅速な実行よりも長期的なアクセスを優先し、従来のネットワーク検知メカニズムを回避するために、DiscordのWebhookをコマンド&コントロール通信に利用しています。
SolyxImmortalは「Lethalcompany.py」という名前の10.29KBのPythonスクリプトとして到来し、SHA-256ハッシュは5a1b440861ef652cc207158e7e129f0b3a22ed5ef5d2ea5968e1d9eff33017bcです。
実行されると、マルウェアはWindows風のファイル名でユーザーのAppDataディレクトリに自身をコピーし、隠し属性およびシステム保護属性を付与して、安易な検知を回避することで永続化を確立します。
管理者権限を必要とせず、現在のユーザーのRunレジストリキーに自身を登録することで、ログインのたびに自動実行されるようにします。この永続化メカニズムにより、完全にユーザー空間に留まりながら、システム再起動をまたいだ継続的な監視が可能になります。
このマルウェアは、2つの異なるDiscord webhook URLをソースコードに直接ハードコードしています。1つは認証情報や圧縮された文書アーカイブを含む構造化データの流出用、もう1つはスクリーンショット送信専用です。
ハードコードされたDiscordユーザーIDにより、高価値の認証イベントでオペレーターへの直接メンションが可能となり、ユーザーが銀行ポータルやメールサービスにアクセスした際に即時通知が届くようになっています。
この設計は、DiscordのHTTPSインフラと評判が、悪意あるトラフィックをネットワークベースの検知システムから守ってくれるという確信を反映しています。
認証情報の収集と監視
SolyxImmortalは、既知のプロファイルディレクトリパスにアクセスすることで、Chrome、Edge、BraveなどのChromium系ブラウザを対象としました。
各ブラウザのLocal Stateファイルからマスター暗号鍵を抽出し、現在のユーザーコンテキスト内でWindows Data Protection APIを用いて復号します。
保存されたログイン認証情報は、ブラウザのSQLiteデータベース から取得され、AES-GCMで復号されます。これにより平文のユーザー名・パスワードのペアが生成され、追加の難読化なしに流出用として集約されます。
認証情報の窃取にとどまらず、このマルウェアはユーザーのホームディレクトリを再帰的にスキャンし、DOC、DOCX、PDF、TXT、XLSXなどの拡張子を持つ文書を探索します。また、運用効率とデータ収集のバランスを取るため、サイズ閾値に基づいてファイルをフィルタリングします。
収集したコンテンツはすべてシステムの一時ディレクトリにステージングされ、送信前にZIPアーカイブへ圧縮されます。これによりネットワーク転送サイズが削減され、流出が少ない外向き接続に集約されるため、異常検知を引き起こしにくくなります。
キーストロークの取得は、永続的なキーボードフックを通じて行われ、取得したキー入力は即時送信されるのではなく、メモリ上のバッファに追記されます。
専用のバックグラウンドスレッドが、固定間隔でバッファリングされたデータを定期的に流出させ、ネットワーク通信の頻度を低減します。
同時に、マルウェアはアクティブなフォアグラウンドウィンドウのタイトルを、認証、金融サービス、またはアカウント管理プラットフォームに関連する事前定義のキーワードリストと照合して監視します。
トリガーワードが検出されると、SolyxImmortalは即座にスクリーンショットを取得し、専用のWebhookチャネルを通じて送信します。さらに、継続的な視覚監視のため、固定間隔での定期スクリーンショットも併用されます。
分析中に収集されたインテリジェンスによれば、SolyxImmortalは当初、コモディティマルウェアの共有やビルダーベースのツールが一般的に関連付けられる地下のTelegramチャンネルを介して配布されました。
マルウェアのコードベースには、言語的痕跡、命名規則、変数パターンが含まれており、これらは過去にハクティビスト系の地下コミュニティで観測されたトルコ語話者の脅威アクターと整合します。
緩和策
防御の機会は、静的シグネチャよりも主に振る舞い指標にあります。セキュリティチームは、AppDataやTEMPディレクトリなどユーザーが書き込み可能なパスからのプロセス実行を監視すべきです。特に、ブラウザの認証情報ストアへのアクセスや、復号のためのWindows DPAPI呼び出しが伴う場合は要注意です。
データ流出に成功した後、マルウェアは収集データのステージングに使用した一時ディレクトリおよびファイルを削除します。
ユーザーレベルのRunキーに対する不正なレジストリ変更と、ファイル圧縮に続く外向きHTTPS接続の組み合わせは、高い確度の検知機会となります。
組織は、ユーザー書き込み可能ディレクトリからの未承認バイナリの実行を防ぐためにアプリケーション許可リストを強制し、バックグラウンドまたは非対話型プロセスによって開始されるWebhookベースのサービスへの反復的なHTTPS POSTリクエストについてネットワーク監視を実装すべきです。
ブラウザの認証情報保護メカニズムに加え、ユーザープロファイルディレクトリ内で正規のシステムコンポーネントを装う実行ファイルを定期的にハンティングすることは、この種の脅威に対する防御態勢をさらに強化します。
翻訳元: https://gbhackers.com/solyximmortal-malware/
