Το κακόβουλο λογισμικό που βασίζεται σε Python SolyxImmortal αξιοποιεί τη διχόνοια για να συλλέγει αθόρυβα ευαίσθητα δεδομένα

Το SolyxImmortal αντιπροσωπεύει μια αξιοσημείωτη πρόοδο στο κακόβουλο λογισμικό κλοπής πληροφοριών που στοχεύει συστήματα Windows.

Αυτή η απειλή που βασίζεται στην Python συνδυάζει πολλαπλές δυνατότητες κλοπής δεδομένων σε ένα ενιαίο, επίμονο εμφύτευμα σχεδιασμένο για μακροχρόνια παρακολούθηση και όχι για καταστροφική δραστηριότητα.

Το κακόβουλο λογισμικό λειτουργεί αθόρυβα στο παρασκήνιο, συλλέγοντας διαπιστευτήρια, έγγραφα, πληκτρολογήσεις και στιγμιότυπα οθόνης ενώ στέλνει κλεμμένες πληροφορίες απευθείας στους εισβολείς μέσω των webhook του Discord.

Η εμφάνισή του τον Ιανουάριο του 2026 σηματοδοτεί μια στροφή προς πιο κρυφά επιχειρησιακά μοντέλα που δίνουν προτεραιότητα στη συνεχή παρακολούθηση έναντι της ταχείας εκμετάλλευσης.

Ο φορέας επίθεσης επικεντρώνεται στη διανομή του κακόβουλου λογισμικού, συσκευασμένου ως σενάριο Python με νόμιμη εμφάνιση με το όνομα “Lethalcompany.py”, σε συστήματα στόχευσης.

Μόλις εκτελεστεί, το SolyxImmortal εγκαθιστά αμέσως την επιμονή μέσω πολλαπλών μηχανισμών και εκκινεί νήματα παρακολούθησης παρασκηνίου.

Το κακόβουλο λογισμικό δεν εξαπλώνεται πλευρικά ούτε διαδίδεται. Αντίθετα, εστιάζει εξ ολοκλήρου στη συλλογή δεδομένων από μια μεμονωμένη παραβιασμένη συσκευή.

Αυτή η εστιασμένη προσέγγιση επιτρέπει στους εισβολείς να διατηρούν μακροπρόθεσμη ορατότητα στη δραστηριότητα των χρηστών χωρίς να τραβούν την προσοχή.

Αναλυτές της Cyfirma αναγνωρισθείς Το SolyxImmortal ως μια εξελιγμένη απειλή που αξιοποιεί τα νόμιμα API των Windows και τις αξιόπιστες πλατφόρμες για επικοινωνία εντολών και ελέγχου.

Ο σχεδιασμός του κακόβουλου λογισμικού αντικατοπτρίζει την επιχειρησιακή ωριμότητα, δίνοντας έμφαση στην αξιοπιστία και τη μυστικότητα έναντι της πολυπλοκότητας.

Χρησιμοποιώντας τα webhook του Discord για μετάδοση δεδομένων, οι εισβολείς εκμεταλλεύονται τη φήμη της πλατφόρμας και την κρυπτογράφηση HTTPS για να αποφύγουν τον εντοπισμό βάσει δικτύου.

Αυτή η τεχνική δείχνει πώς οι φορείς απειλών καταχρώνται όλο και περισσότερο τις νόμιμες υπηρεσίες για να κρύψουν κακόβουλη δραστηριότητα.

Μηχανισμός εμμονής και κλοπή διαπιστευτηρίων προγράμματος περιήγησης

Το κακόβουλο λογισμικό δημιουργεί επιμονή αντιγράφοντας τον εαυτό του σε μια κρυφή θέση στον κατάλογο AppData, μετονομάζοντάς το ώστε να μοιάζει με ένα νόμιμο στοιχείο των Windows.

Στη συνέχεια, καταχωρείται στο κλειδί Run του μητρώου των Windows, διασφαλίζοντας την αυτόματη εκτέλεση κατά τη σύνδεση κάθε χρήστη χωρίς να απαιτούνται δικαιώματα διαχειριστή.

Αυτή η προσέγγιση εγγυάται τη συνεχή λειτουργία ακόμη και μετά την επανεκκίνηση του συστήματος.

Το SolyxImmortal στοχεύει πολλά προγράμματα περιήγησης, συμπεριλαμβανομένων των Chrome, Edge, Brave και Opera GX, αποκτώντας πρόσβαση στους καταλόγους των προφίλ τους.

Το κακόβουλο λογισμικό εξάγει τα κύρια κλειδιά κρυπτογράφησης του προγράμματος περιήγησης χρησιμοποιώντας το Windows DPAPI και, στη συνέχεια, αποκρυπτογραφεί τα αποθηκευμένα διαπιστευτήρια μέσω της κρυπτογράφησης AES-GCM.

Τα ανακτημένα διαπιστευτήρια εμφανίζονται σε μορφή απλού κειμένου πριν από την εξαγωγή, υποδεικνύοντας ελάχιστα τοπικά μέτρα ασφαλείας.

Το κακόβουλο λογισμικό συλλέγει επίσης έγγραφα σαρώνοντας τον οικιακό κατάλογο του χρήστη για αρχεία με συγκεκριμένες επεκτάσεις όπως .pdf, .docx και .xlsx, φιλτράροντας τα αποτελέσματα κατά μέγεθος αρχείου για να αποφευχθεί η επιβάρυνση του δικτύου.

Όλα τα κλεμμένα αντικείμενα συμπιέζονται σε ένα αρχείο ZIP και μεταδίδονται σε webhooks Discord που ελέγχονται από τους εισβολείς, ολοκληρώνοντας τον κύκλο κλοπής δεδομένων.