มัลแวร์ Python ตัวใหม่ SolyxImmortal มุ่งขโมยรหัสผ่าน และ Cookies บนเบราว์เซอร์

มัลแวร์ Python ตัวใหม่ SolyxImmortal มุ่งขโมยรหัสผ่าน และ Cookies บนเบราว์เซอร์

ดัง

จากรายงานโดยเว็บไซต์ Cyber Press ได้กล่าวถึงการตรวจพบมัลแวร์ประเภท Infostealer ตัวใหม่ ชื่อ SolyxImmortal โดยมัลแวร์ตัวนี้ถูกสร้างขึ้นด้วยภาษา Python มีความสามารถในการขโมยข้อมูลมากมาย เช่น ขโมยข้อมูลอ่อนไหว (Sensitive Data) ของเหยื่อ, ข้อมูลบนเว็บเบราว์เซอร์ตระกูล Chromium, และการดักจับการพิมพ์ (Keystroke) ของเหยื่อ โดยทางทีมวิจัยจาก Cyfirma บริษัทผู้เชี่ยวชาญด้านภัยไซเบอร์ กล่าวว่า ตัวมัลแวร์นั้นได้มีการใช้งาน Webhook ของบริการแชทชื่อดัง Discord ในการลักลอบส่งออกข้อมูล (Exfiltration) ทำให้ตรวจจับได้ยาก และเมื่อสืบลึกขึ้นไปพบว่ามัลแวร์ตัวนี้มีการมุ่งเน้นการเล่นงานไปยังชาวตุรกีเป็นหลัก เนื่องจากมีการตั้งค่า Keyword คงที่ (Harcoded) ที่ถ้าตรวจเจอคำภาษาตุรกีที่กำหนดไว้ ตัวมัลแวร์ก็จะทำการบันทึกหน้าจอ (Screenshot) การใช้งาน Gmail หรือ เว็บไซต์ธนาคาร อย่างอัตโนมัติ

ในส่วนของการทำงานเชิงเทคนิคนั้นตัวมัลแวร์ได้มีการใช้งานโมดูล (Module) ภาษา Python มากถึง 15 ตัว เช่น การมีปฏิสัมพันธ์กับระบบปฏิบัติการ (OS Interaction), การทำงานแบบซอยย่อย (Threading), และ ไลบรารีการเข้ารหัส (Cryptography Libraries) เพื่อให้ตัวมัลแวร์สามารถทำงานได้อย่างเต็มประสิทธิภาพ ซึ่งหลังจากที่มัลแวร์เริ่มทำการฝังตัวลงเครื่อง ตัวมัลแวร์จะทำการสร้างความคงทนบนระบบ (Persistence) ด้วยการคัดลอกตัวเองไปยังโฟลเดอร์ APPDATA (โดยเฉพาะอย่างยิ่งโฟลเดอร์ WindowsGraphics) ในทันที จากนั้นจึงทำการดัดแปลงกุญแจรีจิสทรี (Registry Key) ที่มีชื่อว่า CurrentVersion Run เพื่อให้มั่นใจได้ว่ามัลแวร์จะทำการรันขึ้นมาอย่างอัตโนมัติทุกครั้งที่เหยื่อทำการล็อกอินเข้ามาใช้งานเครื่อง

สำหรับการเตรียมตัวส่งออกข้อมูลนั้น มัลแวร์จะทำการสร้างโฟลเดอร์ชั่วคราวเพื่อการนี้โดยเฉพาะ (Temporary Staging Folder) ในชื่อ Solyx_Pack_Final ภายในโฟลเดอร์ TEMP อีกที จากนั้นจึงการทำการดึงเอากุญแจถอดรหัส (Decryption Key) จากไฟล์ Local State ของเว็บเบราว์เซอร์ตระกูล Chromium เพื่อใช้ในการดึงเอารหัสผ่านที่ถูกบันทึกไว้บนเว็บเบราว์เซอร์ออกมาในรูปแบบข้อความธรรมดา (Plain Text) จากฐานข้อมูล SQLite โดยรหัสผ่านเหล่านี้จะถูกบันทึกในชื่อไฟล์ “sifreler.txt” นอกจากนั้นยังพบว่าตัวมัลแวร์มีความสามารถในการขโมยข้อมูลฐานข้อมูล Cookies จากเว็บเบราว์เซอร์ Firefox และสามารถขโมยไฟล์เอกสารแบบ PDF, Doc, และ Spreadsheet ได้อีกด้วย ซึ่งเพื่อให้การลักลอบส่งทำได้ง่ายไม่ถูกตัดสัญญาณ (Timeout) ไปเสียก่อน ตัวมัลแวร์จะเน้นขโมยไฟล์ที่มีขนาด 100 Bytes - 100 MB เท่านั้น โดยไม่มีการเข้าไปยุ่งกับโฟลเดอร์ระบบ (System) เด็ดขาด 

นอกจากข้อมูลเหล่านี้ ทางทีมวิจัยยังพบว่าตัวมัลแวร์นั้นแอบดักจับการพิมพ์ของเหยื่อแบบทุกตัวอักษรอีกด้วย โดยข้อมูลเหล่านี้จะถูกเก็บไว้ในหน่วยความจำ Buffer ซึ่งข้อมูลที่ดักจับมาได้จะถูกนำมารวมเป็นไฟล์ JSON แล้วส่งออกไปยังโครงสร้างพื้นฐาน (Infrastructure) ของมัลแวร์ที่ตั้งอยู่บนบริการแชท Discord ในทุก 60 วินาที ไม่เพียงเท่านั้นตัวมัลแวร์ยังมีความสามารถในการบันทึก Screenshot เมื่อพบว่า Keyword ภาษาตุรกีตรงกับอีเมล หรือ เว็บไซต์ธนาคาร โดยไฟล์รูปภาพเหล่านี้จะถูกส่งออกไปยังเซิร์ฟเวอร์ของมัลแวร์ในทันทีพร้อมแจ้งเตือน (Alert Message) ถึงแฮกเกอร์ให้เข้ามาดูข้อมูลที่ขโมยมาอีกด้วย