Python-based Malware SolyxImmortal Leverages Discord to Silently Harvest Sensitive Data

SolyxImmortal เป็นมัลแวร์ขโมยข้อมูลที่พัฒนาด้วย Python ซึ่งมุ่งเป้าไปที่ระบบ Windows ออกแบบมาเพื่อการเฝ้าระวังระยะยาว โดยจะทำงานอย่างเงียบๆ ในเบื้องหลังเพื่อรวบรวมข้อมูลประจำตัว เอกสาร การกดแป้นพิมพ์ และภาพหน้าจอ จากนั้นส่งข้อมูลที่ขโมยไปโดยตรงผ่าน Discord webhooks เพื่อหลีกเลี่ยงการตรวจจับเครือข่าย การปรากฏตัวในเดือนมกราคม 2026 นี้ สะท้อนถึงการเปลี่ยนแปลงไปสู่โมเดลการปฏิบัติงานที่เน้นความลับและการเฝ้าระวังอย่างต่อเนื่อง

Severity: สูง

System Impact:

• ระบบปฏิบัติการ Windows
• เว็บเบราว์เซอร์ (Chrome, Edge, Brave, Opera GX)
• Discord (ใช้เป็นช่องทางในการส่งข้อมูล C2)

Technical Attack Steps:

1. มัลแวร์ถูกเผยแพร่ในรูปแบบสคริปต์ Python ที่ดูเหมือนไฟล์ถูกต้องตามกฎหมายชื่อ “Lethalcompany.py” ไปยังระบบเป้าหมาย
2. เมื่อถูกรัน SolyxImmortal จะสร้างกลไกการคงอยู่ (persistence) ทันทีผ่านหลายช่องทาง
3. มัลแวร์จะคัดลอกตัวเองไปยังตำแหน่งที่ซ่อนอยู่ในไดเรกทอรี AppData และเปลี่ยนชื่อให้คล้ายกับส่วนประกอบ Windows ที่ถูกต้อง
4. ลงทะเบียนตัวเองใน Windows registry Run key เพื่อให้ทำงานโดยอัตโนมัติเมื่อผู้ใช้ล็อกอิน โดยไม่ต้องการสิทธิ์ผู้ดูแลระบบ
5. เปิดใช้งานเธรดการเฝ้าระวังในเบื้องหลังเพื่อรวบรวมข้อมูล
6. กำหนดเป้าหมายเบราว์เซอร์ต่างๆ (Chrome, Edge, Brave, Opera GX) เพื่อเข้าถึงไดเรกทอรีโปรไฟล์และดึง Master Encryption Keys โดยใช้ Windows DPAPI
7. ถอดรหัสข้อมูลประจำตัวที่จัดเก็บไว้โดยใช้การเข้ารหัส AES-GCM ซึ่งจะปรากฏในรูปแบบ plaintext ก่อนส่งออก
8. รวบรวมเอกสารโดยการสแกนไดเรกทอรีหลักของผู้ใช้สำหรับไฟล์ที่มีนามสกุลเฉพาะ เช่น .pdf, .docx, และ .xlsx โดยกรองตามขนาดไฟล์เพื่อลดภาระเครือข่าย
9. บีบอัดไฟล์ที่ถูกขโมยทั้งหมดเป็นไฟล์ ZIP
10. ส่งไฟล์ ZIP ที่มีข้อมูลที่ขโมยไปให้กับ Discord webhooks ที่ควบคุมโดยผู้โจมตี

Recommendations:

Short Term:

• ระมัดระวังในการเปิดไฟล์แนบหรือดาวน์โหลดซอฟต์แวร์จากแหล่งที่ไม่น่าเชื่อถือ โดยเฉพาะไฟล์สคริปต์ Python ที่ไม่รู้จัก
• ตรวจสอบและบล็อก Discord webhooks ที่น่าสงสัยบนเครือข่ายหรือ endpoint
• ใช้โซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับพฤติกรรมที่ผิดปกติของไฟล์และกระบวนการต่างๆ
• ตรวจสอบ Windows registry Run key เป็นประจำเพื่อหา entries ที่ไม่ได้รับอนุญาต

Long Term:

• บังคับใช้การยืนยันตัวตนแบบ Multi-Factor Authentication (MFA) สำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีที่มีความสำคัญ
• อัปเดตระบบปฏิบัติการ เว็บเบราว์เซอร์ และซอฟต์แวร์อื่นๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่ออุดช่องโหว่
• ให้ความรู้แก่พนักงานและผู้ใช้เกี่ยวกับภัยคุกคามทางไซเบอร์ เช่น ฟิชชิ่งและมัลแวร์ เพื่อลดความเสี่ยงจากการหลอกลวง
• ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันมัลแวร์ที่มีประสิทธิภาพบนทุกอุปกรณ์
• สำรองข้อมูลสำคัญอย่างสม่ำเสมอและเก็บรักษาไว้ในที่ปลอดภัย เพื่อให้สามารถกู้คืนได้หากเกิดการโจมตี

Source: https://cybersecuritynews.com/python-based-malware-solyximmortal-leverages-discord/