一款名为SolyxImmortal的新型Python恶意软件正在悄然传播,它不仅能窃取浏览器中保存的密码和Cookie,还能记录键盘输入、截取敏感页面截图,甚至将窃取到的数据打包发送至攻击者控制的Discord频道。
恶意软件概况
网络安全研究人员发现了一种名为SolyxImmortal的Python恶意软件。该软件专门针对Windows操作系统,能够窃取浏览器密码、Cookie、敏感文件和键盘输入。
该恶意软件利用Python库和多线程技术同时执行多项窃取操作,在后台运行时隐蔽性极强。
特别值得关注的是,该恶意软件的代码中包含大量土耳其语关键词,包括银行网站、Gmail登录和各类登录页面相关内容。当活动窗口标题匹配这些关键词时,恶意软件会触发针对性截图,表明攻击者有明确的特定受众目标。
主要危害行为
浏览器凭证窃取
SolyxImmortal能够从基于Chromium的浏览器(Chrome、Edge、Brave、OperaGX)中读取本地数据库,利用AES算法解密加密存储的凭证。所有被盗凭证保存在名为sifreler.txt的文件中(土耳其语意为“密码”)。
同时,它还会直接复制Firefox浏览器的Cookie数据库到备用文件夹,实现Cookie窃取。
文件窃取
恶意软件会在用户主目录中搜索特定格式文档:
.txt
.pdf
.docx
.xlsx
大小介于100字节到10MB之间的文件会被复制并打包成Solyx_Final_Data.zip压缩包。
键盘记录
键盘记录器运行在独立线程中,记录用户的每一次按键。每60秒,收集到的按键会被打包成JSON块发送给攻击者。
定向截图
截图功能有两种模式:
每两分钟例行截图一次
当活动窗口标题出现敏感关键词时立即触发截图
持久化与隐蔽手段
该恶意软件在感染后会执行以下操作:
1.自我复制:复制到%APPDATA%\WindowsGraphics\win_gfx_driver.exe
2.伪装身份:伪装成Windows图形驱动文件
3.设置隐藏属性:将文件属性设置为“隐藏”和“系统”,标准文件浏览时不可见
4.注册表自启:创建注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsGfxDriver,确保每次用户登录时自动运行
数据回传渠道
SolyxImmortal利用Discord Webhook作为数据泄露通道。所有收集到的信息被打包后直接发送至攻击者控制的Discord频道,数据到达时会标记预设的用户ID。
使用Discord这样流行的平台作为命令通道,是恶意软件的新趋势——这类流量很少被防火墙阻挡,看起来如同普通用户活动。
企事业单位防护建议
针对SolyxImmortal这类新型Python恶意软件,建议采取以下措施:
1. 终端检测与响应(EDR)
部署EDR工具,标记可能暗示感染的异常进程行为,特别是Python脚本的可疑执行。
2. 限制Python执行权限
仅对真正需要Python运行环境的用户授予执行权限,减少攻击面。
3. 浏览器密码管理策略
建议用户不在浏览器中保存敏感网站密码,改用专用的密码管理工具。
4. 加强人员安全意识培训
培训员工识别钓鱼邮件和可疑附件——这是防范依赖用户交互类恶意软件最有效的手段。
5. 网络流量监控
对异常外发流量(尤其是发往Discord等社交媒体API的流量)进行监控和告警。
威胁指标(IoC)
类型 | 指示器 | 描述 |
SHA256 | 5a1b440861ef652cc207158e7e129f0b3a22ed5ef5d2ea5968e1d9eff33017bc | SolyxImmortal Python 恶意软件示例哈希 |
SHA1 | 81c66c043982cfee9e60ae94203f4336da0b50c0 | SolyxImmortal Python 恶意软件示例哈希 |
MD5 | 2690f7c685784fff006fe451fa3b154c | SolyxImmortal Python 恶意软件示例哈希 |
深层 | 192:A2maqyDhNc90rNsS21W3g/+/X/WqWUC6Dh:A2dV1NcQUZa | SolyxImmortal 样本的模糊哈希 |
文件名 | win_gfx_driver.exe | APPDATA 文件夹中的恶意软件持久化副本 |
文件名 | sifreler.txt | 被盗的浏览器凭证暂存文件(土耳其语意为“密码”) |
文件名 | Solyx_Pack_Final | TEMP 目录中的预备文件夹 |
文件名 | Solyx_Final_Data.zip | 用于窃取的数据压缩档案 |
文件名 | alert.png | 检测到关键关键词窗口时保存的截图 |
注册表密钥 | HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Persistence registry key value: WindowsGfxDriver |
文件路径 | %APPDATA%\WindowsGraphics\win_gfx_driver.exe | 恶意软件持久化副本的完整路径 |
结语
SolyxImmortal恶意软件文件大小仅约10KB,却具备强大的数据窃取能力。它利用Discord作为数据回传通道的手法,代表了恶意软件发展的新趋势。企事业单位应提高警惕,加强终端防护和人员安全意识培训,切实保护敏感数据安全。
建议各单位立即开展以下工作:
检查终端是否存在上述IoC指标
更新终端安全策略,加强对Python脚本执行行为的监控
向内部用户通报浏览器密码存储的安全风险
夜雨聆风