SolyxImmortal: Il malware che ruba le tue password dal browser

SolyxImmortal: il malware che ruba le password dal tuo browser

SolyxImmortal: il malware che ruba le password dal tuo browser

Cosa devi sapere subito

Se utilizzi un computer Windows e salvi le password nel tuo browser, è importante che tu conosca SolyxImmortal, un malware sofisticato progettato specificamente per rubare le tue credenziali. A differenza di molte altre minacce che causano danni visibili, questo malware lavora silenziosamente in background, raccogliendo informazioni sensibili senza che tu te ne accorga.

La buona notizia è che esistono azioni concrete che puoi intraprendere oggi stesso per proteggerti:

  • Utilizza un gestore di password dedicato invece di salvare le credenziali nel browser
  • Mantieni il tuo sistema operativo e i tuoi browser sempre aggiornati
  • Installa un antivirus affidabile e tienilo attivo
  • Scarica file solo da fonti ufficiali e verificate
  • Abilita l’autenticazione a due fattori sui tuoi account importanti

Come funziona SolyxImmortal

SolyxImmortal rappresenta un’evoluzione significativa nel panorama dei malware che colpiscono i sistemi Windows. Questo malware basato su Python combina molteplici capacità di furto dati in un unico sistema persistente, progettato per la sorveglianza a lungo termine piuttosto che per attività distruttive immediate.

Il malware opera in modo furtivo, raccogliendo credenziali, documenti, pressioni dei tasti e screenshot, inviando le informazioni rubate direttamente agli attaccanti attraverso webhook Discord. Questo approccio rappresenta un cambiamento strategico verso modelli operativi più discreti che privilegiano il monitoraggio continuo rispetto allo sfruttamento rapido.

Il vettore di attacco iniziale

Il malware viene distribuito confezionato come uno script Python apparentemente legittimo denominato “Lethalcompany.py”. Una volta eseguito sulla macchina della vittima, SolyxImmortal stabilisce immediatamente la persistenza attraverso molteplici meccanismi e avvia thread di sorveglianza in background.

A differenza di altri malware, SolyxImmortal non si diffonde lateralmente e non tenta di auto-propagarsi da un dispositivo all’altro. Invece, si concentra interamente sulla raccolta dati da un singolo dispositivo compromesso. Questo approccio focalizzato consente agli attaccanti di mantenere visibilità a lungo termine sull’attività dell’utente senza attirare l’attenzione delle soluzioni di sicurezza tradizionali.

Come il malware stabilisce la persistenza

Una volta installato, SolyxImmortal garantisce la sua permanenza sul sistema attraverso una serie di tecniche sofisticate. Il malware copia se stesso in una posizione nascosta all’interno della directory AppData, rinominandosi per assomigliare a un componente Windows legittimo. Successivamente, si registra nella chiave Run del registro di Windows, garantendo l’esecuzione automatica a ogni accesso dell’utente.

Questa strategia è particolarmente insidiosa perché non richiede privilegi amministrativi e funziona continuamente anche dopo i riavvii del sistema. L’utente medio non noterà alcun cambiamento nel comportamento del computer, mentre il malware continua tranquillamente le sue operazioni.

Il furto delle credenziali del browser

Il vero pericolo di SolyxImmortal risiede nella sua capacità di accedere alle credenziali salvate nei browser. Il malware prende di mira i principali browser inclusi Chrome, Edge, Brave e Opera GX, accedendo direttamente alle loro directory di profilo.

Per estrarre le password, SolyxImmortal utilizza un processo sofisticato: prima estrae le chiavi di crittografia master del browser utilizzando Windows DPAPI (Data Protection API), quindi decripta le credenziali archiviate tramite crittografia AES-GCM. Le credenziali recuperate appaiono in formato plaintext prima dell’esfiltrazione, il che significa che il malware ha accesso completo alle tue password in chiaro.

Questa rappresenta una vulnerabilità critica per tutti gli utenti che salvano le loro password nei browser, poiché le misure di sicurezza locali risultano completamente inefficaci contro un malware con accesso di sistema.

La raccolta di documenti e file sensibili

Oltre alle credenziali, SolyxImmortal raccoglie anche documenti sensibili eseguendo la scansione della directory home dell’utente alla ricerca di file con estensioni specifiche come .pdf, .docx e .xlsx. Il malware filtra intelligentemente i risultati per dimensione file al fine di evitare sovraccarichi di rete durante la trasmissione dati.

Tutti gli artefatti rubati vengono compressi in un archivio ZIP e trasmessi a webhook Discord controllati dagli attaccanti, completando il ciclo di furto dati. Questo significa che i tuoi documenti importanti, le tue fatture, i tuoi contratti e altri file sensibili potrebbero finire nelle mani di criminali informatici.

Come gli attaccanti nascondono le tracce

Una delle caratteristiche più sofisticate di SolyxImmortal è il suo utilizzo di Discord come canale di comunicazione per il comando e controllo. Utilizzando webhook Discord per la trasmissione dati, gli attaccanti sfruttano la reputazione della piattaforma e la crittografia HTTPS per evitare il rilevamento basato sulla rete.

Questo approccio è particolarmente intelligente perché il traffico verso i server Discord è generalmente considerato legittimo dalla maggior parte dei firewall e dei sistemi di sicurezza di rete. Gli analisti di sicurezza identificano questa tecnica come una dimostrazione di come i malintenzionati abusano sempre più dei servizi legittimi per nascondere l’attività malevola.

Come proteggere i tuoi dati

La migliore difesa contro SolyxImmortal e minacce simili è un approccio a più livelli. Innanzitutto, non salvare mai le password nei tuoi browser. Utilizza invece un gestore di password dedicato come Bitwarden, 1Password o Dashlane, che offrono crittografia end-to-end e sono molto più difficili da compromettere.

In secondo luogo, mantieni sempre il tuo sistema operativo, i tuoi browser e il tuo software di sicurezza aggiornati. Gli aggiornamenti di sicurezza spesso correggono vulnerabilità che i malware come SolyxImmortal potrebbero sfruttare.

Terzo, scarica software solo da fonti ufficiali e verificate. Evita siti di download di terze parti che potrebbero distribuire versioni compromesse di software legittimo.

Quarto, abilita l’autenticazione a due fattori su tutti i tuoi account importanti. Anche se un attaccante riesce a rubare le tue credenziali, non potrà accedere ai tuoi account senza il secondo fattore di autenticazione.

Technical Deep Dive

Per gli utenti più esperti, è importante comprendere i dettagli tecnici di come SolyxImmortal opera a livello di sistema.

Il malware sfrutta le API Windows native per accedere alle credenziali archiviate. La chiave di crittografia master viene estratta utilizzando DPAPI, che è una funzione di Windows progettata per proteggere i dati sensibili. Tuttavia, quando il malware è in esecuzione con i privilegi dell’utente (che è il caso qui), può accedere a questa chiave senza difficoltà.

La decriptazione delle credenziali avviene tramite AES-GCM, lo stesso algoritmo utilizzato da Chrome, Edge e altri browser moderni. Una volta decriptate, le credenziali vengono serializzate e compresse in un archivio ZIP prima di essere inviate ai server di comando e controllo tramite webhook Discord.

Il meccanismo di persistenza utilizza la chiave Run nel registro di Windows (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run), che è una delle tecniche più comuni utilizzate dai malware per garantire l’esecuzione automatica. Il malware si copia anche in una directory nascosta, spesso utilizzando nomi che assomigliano a componenti Windows legittimi per evitare il rilevamento manuale.

L’uso di Discord come canale C2 è particolarmente intelligente dal punto di vista tecnico. I webhook Discord permettono di inviare messaggi POST HTTP a un canale specifico senza autenticazione aggiuntiva, rendendo il traffico indistinguibile dal traffico Discord legittimo. Questo rende il rilevamento basato su IDS/IPS estremamente difficile.

Per gli amministratori di sistema, è consigliabile implementare controlli di applicazione per limitare l’esecuzione di script Python non autorizzati, monitorare le modifiche al registro di Windows in tempo reale e implementare protezioni endpoint avanzate che possano rilevare comportamenti sospetti come l’accesso a directory di profilo del browser.

Fonte: https://cybersecuritynews.com/python-based-malware-solyximmortal-leverages-discord/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto