Python恶意软件窃取浏览器密码、Cookie、文件及键盘记录

admin 2026-07-14 05:14:03 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 新型Python恶意软件SolyxImmortal针对Windows系统,窃取浏览器密码、Cookie、敏感文件并记录键盘输入。它利用Discordwebhook外泄数据,针对土耳其语用户,通过伪装成图形驱动文件实现持久化。防御建议包括部署EDR、限制Python执行权限及加强用户培训。 综合评分: 84 文章分类: 恶意软件,数据泄露,安全运营


cover_image

Python恶意软件窃取浏览器密码、Cookie、文件及键盘记录

FreeBuf

2026年6月5日 18:00 上海

在小说阅读器读本章

去阅读

一款名为SolyxImmortal的新型Python恶意软件被发现正在窃取受感染Windows系统中的浏览器密码、Cookie、敏感文件和键盘记录。该恶意软件利用知名Python库和多线程技术同步执行操作,使其在后台运行时更难被检测。

该恶意软件的显著特点是其明显针对土耳其语用户。其代码中嵌入了多个与银行网站、Gmail登录和登录页面相关的土耳其语关键词。当活动窗口标题匹配这些关键词时,会触发针对性截图功能,表明作者针对特定目标群体。

Part01

数据窃取机制

研究人员表示,该恶意软件利用Discord webhook作为数据外泄通道。窃取信息后,恶意软件将所有数据打包并直接发送至攻击者控制的Discord频道,数据到达时会标记预定义的用户ID。

该恶意软件首次出现在公开威胁数据库中,样本可在Malware Bazaar获取。虽然分析样本不包含活动的webhook URL,但Cyfirma早前的公开报告显示,实际版本指向真实的Discord端点。

Part02

持久化与数据收集

该恶意软件文件本身是一个小型Python脚本,仅略超过10,000字节,但能对受感染系统造成严重危害。一旦进入系统,SolyxImmortal会立即建立持久化机制:将自身复制到APPDATA文件夹,伪装成Windows图形驱动程序文件,并设置注册表键值在用户每次登录时运行,确保恶意软件在重启后仍保持活动状态。

该恶意软件运行时会广泛收集数据:

  • 通过读取本地数据库并使用AES解密,从基于Chromium的浏览器(如Chrome、Edge、Brave和OperaGX)获取保存的密码
  • 所有窃取的凭证保存在名为sifreler.txt的文件中(土耳其语意为”密码”)
  • 通过直接复制浏览器的Cookie数据库获取Firefox Cookie
  • 扫描用户主目录寻找.txt、.pdf、.docx和.xlsx格式的文档,将100字节至10 MB大小的文件复制并打包为名为Solyx_Final_Data.zip的压缩档案
  • 键盘记录器在单独线程中运行,记录用户的每次击键,每60秒将收集的击键打包为JSON格式发送给攻击者
  • 屏幕捕获功能有两种模式:每两分钟常规截图,以及当活动窗口标题出现敏感关键词时立即截图

Part03

隐蔽技术与防御建议

该恶意软件采用多种技巧避免检测:

  • 将自身保存为win_gfx_driver.exe并设置隐藏和系统文件属性
  • 创建的注册表键WindowsGfxDriver听起来像合法的Windows组件,容易被常规系统检查忽略
  • 通过Python的requests库使用Discord的web API外泄数据,使恶意流量与正常网络活动混合

安全团队和组织可采取以下措施降低风险:

  • 部署端点检测和响应工具标记可能表明感染的异常进程行为
  • 限制Python执行权限仅限真正需要的用户
  • 培训用户识别钓鱼邮件和可疑附件

Part04

入侵指标

注:IP地址和域名已故意进行无害化处理(如使用_[.]_),以防止意外解析或超链接。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。

参考来源:

SolyxImmortal Python Malware Steals Browser Passwords, Cookies, Files, and Keystrokes

SolyxImmortal Python Malware Steals Browser Passwords, Cookies, Files, and Keystrokes

推荐阅读

#

电报讨论


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《Python恶意软件窃取浏览器密码、Cookie、文件及键盘记录》

评论:0   参与:  0