SolyxImmortal, Windows sistemlerini hedef alan bilgi çalan kötü amaçlı yazılımlarda kayda değer bir ilerlemeyi temsil ediyor.
Bu Python tabanlı tehdit, birden fazla veri hırsızlığı yeteneğini, yıkıcı faaliyetlerden ziyade uzun vadeli gözetim için tasarlanmış tek ve kalıcı bir implantta birleştirir.
Kötü amaçlı yazılım arka planda sessizce çalışarak kimlik bilgilerini, belgeleri, tuş vuruşlarını ve ekran görüntülerini toplarken, çalınan bilgileri Discord web kancaları aracılığıyla doğrudan saldırganlara gönderiyor.
Ocak 2026’da ortaya çıkması, hızlı istismar yerine sürekli izlemeye öncelik veren daha gizli operasyonel modellere doğru bir geçişe işaret ediyor.
Saldırı vektörü, “Lethalcompany.py” adlı yasal görünümlü bir Python betiği olarak paketlenmiş kötü amaçlı yazılımın hedef sistemlere dağıtılmasına odaklanıyor.
.webp)
SolyxImmortal, çalıştırıldıktan sonra birden fazla mekanizma aracılığıyla anında kalıcılık sağlar ve arka planda gözetleme iş parçacıklarını başlatır.
Kötü amaçlı yazılım yanal olarak yayılmaz veya kendi kendine yayılmaz; bunun yerine tamamen güvenliği ihlal edilmiş tek bir cihazdan veri toplamaya odaklanır.
Bu odaklı yaklaşım, saldırganların dikkat çekmeden kullanıcı etkinliklerine ilişkin uzun vadeli görünürlük elde etmelerini sağlar.
Cyfirma analistleri, SolyxImmortal’ı komuta ve kontrol iletişimi için meşru Windows API’lerinden ve güvenilir platformlardan yararlanan karmaşık bir tehdit olarak tanımladı.
.webp)
Kötü amaçlı yazılımın tasarımı operasyonel olgunluğu yansıtıyor ve karmaşıklık yerine güvenilirliği ve gizliliği ön plana çıkarıyor.
Saldırganlar, veri iletimi için Discord web kancalarını kullanarak platformun itibarından ve HTTPS şifrelemesinden yararlanarak ağ tabanlı tespitten kaçınıyor.
Bu teknik, tehdit aktörlerinin kötü niyetli etkinlikleri gizlemek için meşru hizmetleri nasıl giderek daha fazla kötüye kullandığını gösteriyor.
Kalıcılık Mekanizması ve Tarayıcı Kimlik Bilgisi Hırsızlığı
Kötü amaçlı yazılım, kendisini AppData dizini içindeki gizli bir konuma kopyalayıp meşru bir Windows bileşenine benzeyecek şekilde yeniden adlandırarak kalıcılık sağlıyor.
Daha sonra kendisini Windows kayıt defteri Çalıştır anahtarına kaydederek, yönetici ayrıcalıklarına ihtiyaç duymadan her kullanıcı oturumunda otomatik yürütme sağlar.
.webp)
Bu yaklaşım, sistem yeniden başlatıldıktan sonra bile çalışmanın devam etmesini garanti eder.
SolyxImmortal, profil dizinlerine erişerek Chrome, Edge, Brave ve Opera GX dahil olmak üzere birden fazla tarayıcıyı hedefler.
Kötü amaçlı yazılım, Windows DPAPI’yi kullanarak tarayıcı ana şifreleme anahtarlarını çıkarıyor ve ardından AES-GCM şifrelemesi yoluyla saklanan kimlik bilgilerinin şifresini çözüyor.
Kurtarılan kimlik bilgileri, dışarı sızmadan önce düz metin biçiminde görünür ve bu, yerel güvenlik önlemlerinin minimum düzeyde olduğunu gösterir.
Kötü amaçlı yazılım ayrıca, kullanıcının ana dizinini .pdf, .docx ve .xlsx gibi belirli uzantılara sahip dosyalar için tarayarak belgeleri toplar ve ağ yükünü önlemek için sonuçları dosya boyutuna göre filtreler.
.webp)
Çalınan tüm eserler bir ZIP arşivinde sıkıştırılır ve saldırgan tarafından kontrol edilen Discord web kancalarına iletilerek veri hırsızlığı döngüsü tamamlanır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
