概要
新たに発見された情報窃取マルウェア「SolyxImmortal」は、Windowsユーザーを標的とした永続的な監視脅威として浮上しました。アンダーグラウンドのTelegramチャンネルを通じて配布されるこのPythonベースのインプラントは、資格情報の窃取、ドキュメントの収集、キーストロークのロギング、スクリーンキャプチャ機能を組み合わせ、バックグラウンドで静かに動作し続ける監視フレームワークを形成しています。
2026年1月に初めて検出されたこのマルウェアは、迅速な実行よりも長期的なアクセスを優先し、従来のネットワーク検出メカニズムを回避するためにDiscordのWebhookをコマンド&コントロール(C2)通信に利用しています。
マルウェアの動作と永続化
SolyxImmortalは「Lethalcompany.py」という名前の10.29 KBのPythonスクリプトとして到着します(SHA-256ハッシュ: 5a1b440861ef652cc207158e7e129f0b3a22ed5ef5d2ea5968e1d9eff33017bc)。実行されると、マルウェアは自身のコピーをユーザーのAppDataディレクトリにWindowsライクなファイル名で配置し、隠しファイルおよびシステム保護ファイルとしてマークすることで、偶発的な検出を避けます。また、管理者の権限を必要とせずに、ユーザーのRunレジストリキーに自身を登録し、ログイン時に自動実行されるように永続化を確立します。このメカニズムにより、システム再起動後もユーザー空間内で継続的な監視が可能となります。
C2通信と情報収集
マルウェアは、そのソースコードに2つの異なるDiscord Webhook URLをハードコードしています。1つは資格情報や圧縮されたドキュメントアーカイブを含む構造化されたデータ流出用、もう1つはスクリーンショット送信専用です。ハードコードされたDiscordユーザーIDにより、銀行ポータルやメールサービスへのアクセスなど、高価値な認証イベント時にオペレーターに直接通知が行くようになっています。この設計は、DiscordのHTTPSインフラストラクチャと評判が、悪意のあるトラフィックをネットワークベースの検出システムから保護するという確信を反映しています。
資格情報と監視
SolyxImmortalは、Chrome、Edge、Braveを含むChromiumベースのブラウザを標的とし、既知のプロファイルディレクトリパスにアクセスします。各ブラウザのLocal Stateファイルからマスター暗号化キーを抽出し、現在のユーザーコンテキスト内でWindows Data Protection API(DPAPI)を使用してそれを復号します。保存されたログイン資格情報は、ブラウザのSQLiteデータベースから取得され、AES-GCMを使用して復号され、平文のユーザー名とパスワードのペアが生成されます。これらはさらなる難読化なしに集約され、流出のために準備されます。
データ窃取と流出
資格情報の窃取に加え、マルウェアはユーザーのホームディレクトリを再帰的にスキャンし、DOC、DOCX、PDF、TXT、XLSXなどの拡張子を持つドキュメントを収集します。同時に、データ収集と運用効率のバランスを取るために、ファイルはサイズ閾値に基づいてフィルタリングされます。収集されたすべてのコンテンツはシステムのテンポラリディレクトリにステージングされ、送信前にZIPアーカイブに圧縮されます。これにより、ネットワーク転送サイズが削減され、流出はより少ないアウトバウンド接続に集約され、異常検出をトリガーする可能性が低くなります。
キーストロークのキャプチャは、キャプチャされたキーストロークをすぐに送信するのではなく、インメモリバッファに追加する永続的なキーボードフックを通じて動作します。専用のバックグラウンドスレッドが、バッファリングされたデータを固定間隔で定期的に流出し、ネットワーク通信の頻度を減らします。同時に、マルウェアは、認証、金融サービス、またはアカウント管理プラットフォームに関連する事前定義されたキーワードリストに対してアクティブなフォアグラウンドウィンドウタイトルを監視します。トリガーワードが検出されると、SolyxImmortalは即座にスクリーンショットをキャプチャし、専用のWebhookチャンネルを通じて送信します。これは、継続的な視覚的監視のために固定間隔で撮影される定期的なスクリーンショットによって補完されます。
起源と帰属
分析中に収集された情報によると、SolyxImmortalは当初、一般的な商品マルウェアの共有やビルダーベースのツールに関連するアンダーグラウンドのTelegramチャンネルを通じて配布されました。マルウェアのコードベースには、以前にハクティビストのアンダーグラウンドコミュニティで観察されたトルコ語を話す脅威アクターと一致する、言語的アーティファクト、命名規則、変数パターンが含まれています。
緩和策と検出
防御の機会は、静的なシグネチャよりも行動的指標に主として存在します。セキュリティチームは、AppDataやTEMPディレクトリなどのユーザー書き込み可能パスからのプロセス実行、特にブラウザの資格情報ストアへのアクセスやWindows DPAPIの呼び出しを監視すべきです。データ流出が成功した後、マルウェアは収集されたデータをステージングするために使用された一時ディレクトリとファイルを削除します。
ユーザーレベルのRunキーへの不正なレジストリ変更、それに続くファイル圧縮、そしてアウトバウンドHTTPS接続は、高い信頼性を持つ検出の機会となります。組織は、ユーザー書き込み可能ディレクトリからの不正なバイナリの実行を防ぐためにアプリケーションのホワイトリスト化を適用し、バックグラウンドまたは非対話型プロセスによって開始されるWebhookベースのサービスへの繰り返しのHTTPS POSTリクエストに対するネットワーク監視を実装すべきです。ブラウザの資格情報保護メカニズムと、ユーザープロファイルディレクトリ内の正規のシステムコンポーネントを装う実行可能ファイルの定期的なハンティングは、この種の脅威に対する防御体制をさらに強化します。