TokyoBlackHatNews

cyberpress.org 4分で読了

PythonベースのSolyxImmortalマルウェアがDiscordを悪用し、機密データを密かに窃取

セキュリティ研究者は、SolyxImmortalと呼ばれる高度なPythonベースのマルウェア亜種を発見した。これは正規のWindows環境に紛れ込んだ形で動作する、永続的な監視およびデータ窃取ツールである。

2026年1月に初めて観測されたこのマルウェアは、DiscordのWebhookインフラを利用して、従来のセキュリティアラートを作動させることなく、認証情報、文書、スクリーンショット、キーストロークデータを流出させる。

一般的なコモディティマルウェアとは異なり、SolyxImmortalは、サイレント実行、挙動のステルス性、フォレンジック痕跡を最小化するためのクリーンアップ手順など、高度なオペレーショナルセキュリティの実践を示している。

このマルウェアは、Lethalcompany.py(10.29 KB)というファイル名で、Windowsで実行できるようにパッケージ化されたPythonスクリプトとして配布される。

解析の結果、外部の設定依存を持たないモノリシックなアプリケーションであり、代わりにソースコード内に直接埋め込まれたハードコードのコマンド&コントロール(C2)パラメータに依存していることが判明した。

実行されると、マルウェアは自身を%AppData%にコピーし、正規のWindowsコンポーネントを装うファイル名を付けることで永続化を確立する。ユーザーのRunレジストリキーに登録し、管理者権限なしで自動起動を確実にする。

自己増殖やラテラルムーブメント機能が存在しないことは、脅威アクターがネットワーク全体の侵害ではなく、個々のエンドポイントからのデータ抽出の最大化に注力していることを示している。

SolyxImmortalは、キーストロークの記録、ウィンドウ監視、認証情報の抽出、ファイル収集を同時に実行するマルチスレッド構成で動作する。

このマルウェアは2つの異なるDiscord Webhookを維持している。1つは構造化データ(認証情報、アーカイブ、ログ)用、もう1つはスクリーンショット送信用である。

この分離により、認証試行や金融サービスとのやり取りといった高価値イベントを優先的に処理できる。マルウェアの認証情報窃取メカニズムは、Chrome、Edge、Braveを含むChromium系ブラウザを標的とする。

各ブラウザのLocal Stateファイルからマスター暗号鍵を抽出し、その後、ユーザーのWindows DPAPIに紐づくAES-GCM暗号化を用いて保存された認証情報を復号する。

復元された平文パスワードはローカルに一時配置され、ZIPアーカイブに圧縮されたうえで、攻撃者が管理するDiscordエンドポイントへHTTPS POSTリクエストで送信される。この手法は、Discordの正当な評判を悪用してネットワークベースの検知システムを回避する。

キーストロークの記録は永続的なキーボードフックを通じて行われ、取得データは直ちに送信されるのではなくメモリ内にバッファリングされる。

バックグラウンドスレッドが一定間隔で蓄積されたキーストロークを定期的に流出させ、外向き通信の頻度を下げて検知リスクを低減する。

Enter、Backspace、修飾キーの組み合わせを含む特殊キーは、生のスキャンコードではなく可読な表現に変換される。

マルウェアは、認証、金融サービス、アカウントアクセスに関連付けられた事前定義のキーワードセットに対して、前面ウィンドウのタイトルを能動的に監視する。

一致が検出されると、スクリーンショットが取得され、専用Webhookを介して直ちに送信される。

また、ユーザーの活動コンテキストに関係なく継続的な視覚監視を可能にするため、定間隔でもルーチンのスクリーンショットが取得される。

流出させる全データは圧縮され、システムのTEMPディレクトリ内で一時配置される。送信が成功すると、マルウェアは一時ファイルおよびディレクトリを削除するクリーンアップ処理を実行し、継続的な運用を維持しつつ、残存するフォレンジック痕跡を低減して次の収集サイクルに備える。

コードベースの分析により、言語的・構造的・運用上の特徴から、トルコ語話者の脅威アクターとの関連の可能性が示唆されており、中程度の確度で評価されている。

Telegramでの配布、Discordインフラの悪用、アンダーグラウンドコミュニティとの重なりの組み合わせは、このマルウェアが個人ユーザーや小規模組織を狙った機会主義的なデータ窃取を目的としていることを示唆する。しかし、そのモジュール設計により、より広範な脅威エコシステム内での転用や再配布も可能である。

組織は、挙動ベースの検知を実装し、ブラウザの認証情報ストアへの異常なアクセス、通常ではない画面キャプチャおよび入力監視の活動、バックグラウンドプロセスからWebhookサービスへの外向きHTTPS通信を優先的に監視すべきである。

アプリケーションの許可リスト化、ブラウザ認証情報の保護、第三者Webhook悪用に対するネットワークベースの監視は、重要な防御コントロールである。

インシデント対応チームは、トリアージおよび復旧フェーズにおいて、レジストリキーを調査し、ユーザープロファイルディレクトリをハンティングすることで、永続化メカニズムを検証すべきである。

翻訳元: https://cyberpress.org/solyximmortal-python-malware-discord-data-theft/

ソース: cyberpress.org
#Chromiumブラウザ標的 #Discordウェブフック悪用 #Pythonマルウェア #SolyxImmortal #キーロガー #スクリーンショット監視 #データ流出(エクスフィルトレーション) #情報窃取 #永続化(レジストリRunキー) #認証情報窃取

関連記事

ロシア、政府高官のスマートフォンに外国製スパイウェアを発見

Claude Code GitHub Actionsの脆弱性によりリポジトリ侵害が可能に

KMW CCTVの深刻な脆弱性、未認証でのカメラアクセスを可能に