Yeni keşfedilen bilgi çalan kötü amaçlı yazılım SolyxImmortal, Windows kullanıcılarını hedef alan kalıcı bir gözetleme tehdidi olarak ortaya çıktı.
Yeraltı Telegram kanalları aracılığıyla dağıtılan bu Python tabanlı implant, kimlik bilgileri hırsızlığını, belge toplamayı, tuş vuruşlarını günlüğe kaydetmeyi ve ekran yakalama özelliklerini arka planda sessizce çalışan, sürekli çalışan bir gözetim çerçevesinde birleştirir.
İlk olarak Ocak 2026’da tespit edilen kötü amaçlı yazılım, hızlı yürütme yerine uzun vadeli erişimi önceliklendiriyor ve geleneksel ağ algılama mekanizmalarından kaçmak için komuta ve kontrol iletişimi için Discord web kancalarından yararlanıyor.
SolyxImmortal, SHA-256 hash 5a1b440861ef652cc207158e7e129f0b3a22ed5ef5d2ea5968e1d9eff33017bc ile “Lethalcompany.py” adlı 10,29 KB Python betiği olarak geliyor.
Kötü amaçlı yazılım, yürütüldükten sonra kendisini Windows benzeri bir dosya adı altında kullanıcının AppData dizinine kopyalayarak, rastgele algılamayı önlemek için onu gizli ve sistem korumalı olarak işaretleyerek kalıcılık sağlıyor.
Yönetici ayrıcalıkları gerektirmeden her oturum açmada otomatik yürütmeyi sağlamak için kendisini geçerli kullanıcının Çalıştır kayıt defteri anahtarı altında kaydeder. Bu kalıcılık mekanizması, tamamen kullanıcı alanında kalarak sistemin yeniden başlatılması sırasında sürekli izleme sağlar.
Kötü amaçlı yazılım, iki farklı Discord web kancası URL’sini doğrudan kaynak koduna kodluyor; biri kimlik bilgileri ve sıkıştırılmış belge arşivleri de dahil olmak üzere yapılandırılmış veri sızıntısı için, diğeri ise yalnızca ekran görüntüsü aktarımına ayrılmış.
Sabit kodlu Discord kullanıcı kimliği, yüksek değerli kimlik doğrulama etkinlikleri için doğrudan operatörden bahsedilmesine olanak tanıyarak, kullanıcılar bankacılık portallarına veya e-posta hizmetlerine eriştiğinde anında bildirim alınmasını sağlar.
Bu tasarım, Discord’un HTTPS altyapısının ve itibarının, kötü amaçlı trafiği ağ tabanlı tespit sistemlerinden koruyacağına olan güveni yansıtıyor.
Kimlik Bilgisi Toplama ve Gözetim
SolyxImmortal, bilinen profil dizini yollarına erişerek Chrome, Edge ve Brave dahil Chromium tabanlı tarayıcılara hitap etti.
Ana şifreleme anahtarını her tarayıcının Yerel Durum dosyasından çıkarır ve geçerli kullanıcı bağlamında şifresini çözmek için Windows Veri Koruma API’sini kullanır.
Kaydedilen oturum açma kimlik bilgileri daha sonra tarayıcının SQLite veritabanlarından alınır ve AES-GCM kullanılarak şifresi çözülür, böylece daha fazla gizleme olmadan dışarı sızmak için bir araya getirilen düz metin kullanıcı adı-şifre çiftleri üretilir.
Kötü amaçlı yazılım, kimlik bilgisi hırsızlığının ötesinde, DOC, DOCX, PDF, TXT ve XLSX gibi uzantılara sahip belgeler için kullanıcının ana dizinini yinelemeli olarak tarar ve veri toplamayı operasyonel verimlilikle dengelemek için dosyaları boyut eşiklerine göre filtreler.
Toplanan tüm içerik, sistemin geçici dizininde hazırlanır ve iletilmeden önce ZIP arşivlerinde sıkıştırılır, böylece ağ aktarım boyutu azaltılır ve anormallik tespitini tetikleme olasılığı daha düşük olan daha az sayıda giden bağlantıya sızma birleştirilir.
Tuş vuruşu yakalama, yakalanan tuş vuruşlarını hemen iletmek yerine bellek içi ara belleğe ekleyen kalıcı bir klavye kancası aracılığıyla çalışır.
Özel bir arka plan iş parçacığı periyodik olarak ara belleğe alınmış verileri sabit aralıklarla dışarı sızdırarak ağ iletişiminin sıklığını azaltır.
Eş zamanlı olarak kötü amaçlı yazılım, etkin ön plan pencere başlığını kimlik doğrulama, finansal hizmetler veya hesap yönetimi platformlarıyla ilişkili önceden tanımlanmış anahtar kelime listelerine göre izliyor.
Tetikleyici kelimeler tespit edildiğinde, SolyxImmortal anında bir ekran görüntüsü yakalar ve bunu özel webhook kanalı aracılığıyla iletir; sürekli görsel gözetim için sabit aralıklarla alınan rutin ekran görüntüleri ile desteklenir.
Analiz sırasında toplanan istihbarat, SolyxImmortal’ın başlangıçta genellikle ticari amaçlı kötü amaçlı yazılım paylaşımı ve oluşturucu tabanlı araçlarla ilişkilendirilen bir yer altı Telegram kanalı aracılığıyla dağıtıldığını gösteriyor.
Kötü amaçlı yazılımın kod tabanı, daha önce hacktivist yeraltı topluluklarında gözlemlenen Türkçe konuşan tehdit aktörleriyle tutarlı dilsel eserler, adlandırma kuralları ve değişken kalıplar içeriyor.
Azaltmalar
Savunma fırsatları öncelikle statik imzalardan ziyade davranışsal göstergelerde mevcuttur. Güvenlik ekipleri, özellikle tarayıcı kimlik bilgileri depolarına erişirken veya şifre çözme için Windows DPAPI’yi çağırırken, AppData ve TEMP dizinleri gibi kullanıcı tarafından yazılabilen yollardan kaynaklanan süreç yürütmeyi izlemelidir.
Başarılı bir veri sızıntısının ardından, kötü amaçlı yazılım, toplanan verileri hazırlamak için kullanılan geçici dizinleri ve dosyaları kaldırır.
Kullanıcı düzeyindeki Çalıştırma anahtarlarında yapılan yetkisiz kayıt defteri değişiklikleri, dosya sıkıştırmayla ve ardından giden HTTPS bağlantılarıyla bir araya gelerek yüksek güvenilirlikli algılama fırsatlarını temsil eder.
Kuruluşlar, yetkisiz ikili dosyaların kullanıcı tarafından yazılabilen dizinlerden yürütülmesini önlemek için uygulama izin verilenler listesine eklemeyi zorunlu kılmalı ve arka plandaki veya etkileşimli olmayan süreçler tarafından başlatılan web kancası tabanlı hizmetlere yönelik tekrarlanan HTTPS POST istekleri için ağ izleme uygulamalıdır.
Tarayıcı kimlik bilgisi koruma mekanizmaları ve kullanıcı profili dizinlerinde yasal sistem bileşenleri gibi görünen yürütülebilir dosyaların düzenli olarak aranması, bu sınıftaki tehdide karşı savunma duruşunu daha da güçlendirir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.