В сфере киберугроз появился новый инструмент для скрытого шпионажа под названием SolyxImmortal. Этот вредоносный код, написанный на Python, представляет собой многофункциональное вредоносное ПО для кражи информации, которое тайно собирает данные с компьютеров под управлением Windows. Зловред сочетает в себе кражу учетных данных, сбор документов, запись нажатий клавиш, съемку экрана и обеспечивает себе постоянное присутствие в системе. Эксперты отмечают, что его дизайн ориентирован на скрытность, надежность и долгосрочный доступ к данным жертвы, а не на быстрое выполнение или разрушительные действия.
Описание
Основная опасность SolyxImmortal заключается в его способности действовать как монолитное приложение. После запуска он копирует себя в папку пользователя AppData, маскируясь под легитимный компонент Windows, и прописывается в автозагрузку через реестр. Это гарантирует его выполнение при каждом входе пользователя в систему без необходимости административных прав. Затем вредоносная программа запускает несколько фоновых потоков, которые одновременно ведут наблюдение и сбор информации, работая неограниченно долго.
С точки зрения функционала, SolyxImmortal демонстрирует высокую эффективность. Он целенаправленно извлекает сохраненные пароли и другие данные из популярных браузеров на базе Chromium, таких как Chrome, Edge и Brave. Для этого используется мастер-ключ шифрования браузера и встроенные функции Windows DPAPI. Параллельно программа рекурсивно сканирует домашний каталог пользователя, отбирая документы определенных типов и размера. Все собранные данные, включая логи нажатий клавиш, временно сохраняются в системной папке TEMP, архивируются и отправляются злоумышленникам.
Для передачи информации используется оригинальный метод - злоупотребление инфраструктурой популярного мессенджера Discord. Все собранные данные эксфильтрируются через заранее прописанные в коде Discord-вебхуки с помощью HTTPS-запросов. Причем для скриншотов используется отдельный вебхук, что позволяет оперативно получать визуальные данные, особенно когда пользователь работает с банковскими или учетными записями. После успешной отправки временные файлы удаляются, что усложняет последующий анализ инцидента.
Динамический анализ показал, что программа работает стабильно и незаметно для пользователя. Она не создает видимых окон, корректно обрабатывает ошибки, такие как отсутствие браузера или проблемы с сетью, и не нагружает систему. Захват нажатий клавиш происходит с переводом специальных клавиш в читаемый формат, а данные передаются пачками через определенные интервалы, чтобы снизить сетевую активность и риск обнаружения.
По данным разведки угроз, образец этого вредоносного ПО первоначально распространялся через подпольный Telegram-канал, связанный с обменом коммерческим вредоносным ПО. Лингвистические и операционные особенности кода с средней степенью уверенности указывают на связь с турецкоязычным threat actor (угрозоносным актором). Активность этого актора наблюдается в каналах, связанных с хактивизмом и простыми методами взлома. Скорее всего, SolyxImmortal предназначен для оппортунистического сбора данных, а не для целевых атак.
С точки зрения модели MITRE ATT&CK, вредоносная программа использует широкий спектр техник: от выполнения через интерпретатор Python (T1059.006) и персистентности через ключи реестра Run (T1547.001) до кражи учетных данных из браузеров (T1555.003), кейлоггинга (T1056.001), съемки экрана (T1113) и эксфильтрации через сторонние веб-сервисы (T1102.003).
Для защиты эксперты рекомендуют многоуровневый подход. На стратегическом уровне важно внедрять поведенческие системы обнаружения, ограничивать выполнение скриптов Python на конечных точках и контролировать использование легитимных платформ, таких как Discord, для C2-каналов. Тактически следует настраивать оповещения о запуске процессов из пользовательских путей, доступе к хранилищам паролей браузеров и модификации автозагрузки реестра. На операционном уровне необходимо проверять сетевой трафик на предмет HTTPS-запросов к вебхукам, проводить регулярные поиски файлов, маскирующихся под системные, и обучать пользователей рискам запуска непроверенного ПО.
Таким образом, SolyxImmortal представляет собой серьезную угрозу конфиденциальности, демонстрируя тренд, когда угрозоносные акторы среднего уровня используют доступные языки программирования и доверенные онлайн-сервисы для создания эффективных шпионских инструментов. Борьба с подобными угрозами требует смещения фокуса с сигнатурного анализа на обнаружение аномального поведения и усиление превентивных мер контроля.
Индикаторы компрометации
MD5
- 2690f7c685784fff006fe451fa3b154c
SHA256
- 5a1b440861ef652cc207158e7e129f0b3a22ed5ef5d2ea5968e1d9eff33017bc
