Исследователи обнаружили SolyxImmortal — вредоносную программу на Python, которая атакует Windows-компьютеры и работает как тихий сборщик данных. Вредонос не пытается сразу шифровать файлы или ломать систему. Его задача другая: закрепиться на устройстве, собирать информацию и регулярно отправлять ее оператору.
SolyxImmortal относится к классу стилеров. Так называют вредоносные программы, которые крадут пароли, токены, документы, данные браузеров, скриншоты и другую чувствительную информацию. В этом случае набор возможностей шире кражи паролей. Вредонос умеет отслеживать нажатия клавиш, делать снимки экрана, искать документы, собирать учетные данные и передавать все это через Discord webhooks.
Discord webhook — это специальная ссылка для автоматической отправки сообщений в канал Discord. Ее используют для уведомлений: например, о сборке проекта, заявке в поддержку или событии в мониторинге. SolyxImmortal применяет тот же механизм как канал вывода украденных данных. Для защитников это неприятный сценарий: трафик идёт к легитимному облачному сервису, который часто не блокируют в корпоративных сетях.
В отчетах вредонос фигурирует как Python-скрипт, который распространялся под видом обычного файла. Один из вариантов назывался Lethalcompany.py. Такое имя выглядит как мод, скрипт или вспомогательный файл, а не как полноценный инструмент слежки. После запуска вредонос начинает работать фоново и включает несколько потоков наблюдения.
Главная особенность SolyxImmortal — ставка на длительное присутствие. Многие стилеры действуют быстро: запустились, собрали пароли, отправили архив и завершились. SolyxImmortal больше похож на постоянный имплант. Он продолжает следить за пользователем, регулярно собирает новые данные и пытается пережить перезагрузку системы.
Для закрепления вредонос использует механизмы автозапуска Windows. Это позволяет ему снова стартовать после перезагрузки и продолжать сбор информации без явного действия пользователя. Так вредонос может неделями оставаться незамеченным, если защитные средства не видят подозрительное поведение.
SolyxImmortal собирает данные из пользовательского окружения. В зоне риска сохраненные пароли в браузерах, файлы на диске, рабочие документы, скриншоты, ввод с клавиатуры и техническая информация о системе. Кейлоггер особенно опасен: он может перехватывать пароли, сообщения, поисковые запросы, фрагменты документов и коды, которые пользователь вводит вручную.
Отдельный риск — скриншоты. Даже если пароль не сохранен в браузере, на экране могут появляться личные кабинеты, рабочие панели, почта, мессенджеры, CRM, банковские страницы, админки и внутренние системы. Снимок экрана порой дает атакующему больше контекста, чем один украденный файл: видно, чем занимается пользователь, какие сервисы открыты и куда можно двигаться дальше.
Вредонос ориентирован на Windows. Это ожидаемый выбор: Windows остается основной средой для домашних пользователей, офисных сотрудников, бухгалтерий, небольших компаний, игровых сообществ и множества рабочих станций. Python в таких атаках удобен тем, что позволяет быстро собрать вредонос из готовых библиотек, упростить разработку и легко менять логику без сложной низкоуровневой части.
Python-вредоносы давно перестали быть экзотикой. Их часто упаковывают в исполняемые файлы, маскируют под утилиты, моды, загрузчики, инструменты для игр, криптокошельков или автоматизации. Пользователь может вообще не понимать, что внутри запускается Python-код. Для него это просто файл, который «ничего не открыл» или быстро исчез после запуска.
Использование Discord в таких схемах тоже не нововведение, но оно остается удобным для атакующих. Сервис популярен, доступен из разных сетей, поддерживает простую автоматическую отправку данных и не выглядит подозрительно на уровне домена. Если компания не анализирует содержимое и контекст исходящих соединений, вредоносная активность может сливаться с обычным трафиком.
Пользователям не стоит запускать .py, .exe, .bat, .scr и архивы из неизвестных каналов, даже если файл выглядит как мод, патч, генератор, чит, утилита для игры или «полезный скрипт». Игровые и тематические сообщества давно используются для распространения стилеров: доверие внутри чата часто работает лучше фишингового письма.
Компаниям стоит ограничить запуск Python-скриптов и неизвестных исполняемых файлов на рабочих местах. Если Python нужен разработчикам или аналитикам, доступ должен быть управляемым: доверенные каталоги, контроль пакетов, мониторинг запуска, запрет выполнения из временных папок и загрузок.
Отдельно нужно следить за исходящими соединениями к Discord webhooks и похожим сервисам автоматических уведомлений. Сам по себе Discord не вредоносен, но регулярная отправка архивов, скриншотов или данных из нетипичного процесса — красный флаг для SOC и администраторов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
