СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

SolyxImmortal: Python-стиллер атакует турецких пользователей

SolyxImmortal — это написанное на Python вредоносное ПО класса stealer, предназначенное для компрометации конфиденциальной информации. Согласно отчету, основная цель кампании — пользователи турецких сайтов, а вектор атаки включает кражу учетных данных, перехват нажатий клавиш, создание скриншотов и автоматическую эксфильтрацию собранных данных.

Особую обеспокоенность вызывает то, что вредоносное ПО использует турецкий язык не только в операционных ключевых словах, но и в сообщениях об успешной передаче данных. Это позволяет предположить, что разработка изначально была ориентирована на турецкоязычную аудиторию.

Что делает SolyxImmortal

По данным отчета, SolyxImmortal сочетает несколько механизмов, которые позволяют ему одновременно собирать и выводить данные:

  • кража учетных данных из браузеров на базе Chromium;
  • регистрация нажатий клавиш (keylogging);
  • создание скриншотов каждые две минуты;
  • дополнительный захват снимков экрана при появлении в заголовках окон ключевых слов, связанных с Gmail или банковскими сайтами;
  • архивация собранной информации и отправка через Discord webhooks.

Такой набор функций указывает не просто на кражу отдельных файлов, а на системный сбор цифровых следов пользователя, включая содержимое браузеров, ввод с клавиатуры и визуальную информацию с экрана.

Механизм закрепления в системе

После запуска SolyxImmortal обеспечивает persistence несколькими способами. Вредоносное ПО копирует себя в папку APPDATA и изменяет реестр Windows, чтобы гарантировать запуск при старте системы.

Точка входа выполняет инициализацию закрепления, затем ожидает 15 секунд и после этого запускает отдельные потоки сбора данных. Использование многопоточности позволяет вредоносному ПО одновременно выполнять несколько задач: отслеживать клавиатурный ввод, извлекать данные из браузеров и готовить материалы к эксфильтрации.

Кража учетных данных из браузеров

Одним из ключевых элементов SolyxImmortal является функция, которая ищет данные для входа в популярных браузерах. Вредоносное ПО извлекает пароли из баз данных SQLite путем расшифровки связанных ключей, хранящихся в профилях браузеров.

Таким образом, атака ориентирована не на случайный сбор файлов, а на целенаправленное получение наиболее ценных данных: логинов и паролей, которые могут использоваться для дальнейшего доступа к онлайн-сервисам, финансовым платформам и корпоративным ресурсам.

Какие файлы представляют интерес

Помимо браузерных учетных данных, SolyxImmortal собирает и другие типы файлов. В отчете указано, что целями эксфильтрации становятся:

  • текстовые файлы;
  • документы Word;
  • файлы Excel;
  • PDF-документы.

При этом вредоносное ПО намеренно избегает системных каталогов, а также файлов размером менее 100 байт или более 10 МБ. Такой фильтр демонстрирует, что злоумышленники стараются минимизировать шум и фокусируются на данных, наиболее вероятно содержащих ценную информацию.

Keylogging, скриншоты и автоматическая эксфильтрация

SolyxImmortal включает эффективный механизм регистрации нажатий клавиш, который захватывает каждое нажатие и передает данные в формате JSON через определенные интервалы. Это позволяет злоумышленнику получать не только итоговые учетные данные, но и контекст действий пользователя.

Скриншоты также собираются и отправляются наружу при выполнении заданных условий. В связке с keylogging это дает полноценную картину активности жертвы: от текста, вводимого с клавиатуры, до содержимого открытых приложений.

Процесс эксфильтрации полностью автоматизирован и использует заранее определенные Discord webhooks для отправки данных обратно злоумышленнику. Собранная информация упаковывается в архив, после чего пересылается вместе с текстовыми уведомлениями на турецком языке, подтверждающими успешную передачу.

«Использование турецкого языка в операционных ключевых словах и сообщениях эксфильтрации указывает на целевую ориентацию кампании на пользователей, говорящих на турецком языке».

Почему это важно

Отчет показывает, что SolyxImmortal — не просто очередной stealer, а гибкая и легко адаптируемая вредоносная платформа. Небольшие изменения в коде, например замена ключевых слов, могут расширить круг потенциальных жертв за пределы турецкоязычного сообщества.

Именно эта модульность делает угрозу особенно опасной: злоумышленники могут быстро модифицировать сценарий атак и переориентировать вредоносное ПО на новые аудитории без существенной переработки его логики.

Вывод: SolyxImmortal демонстрирует типичный для современных информационных угроз подход — совмещение кражи учетных данных, перехвата пользовательской активности и автоматизированной эксфильтрации через легитимно выглядящие онлайн-сервисы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: