មេរោគ SolyxImmortal ដែលមានមូលដ្ឋានលើ Python ទាញយកអត្ថប្រយោជន៍ពី Discord ដើម្បីប្រមូលទិន្នន័យរសើបដោយស្ងាត់ស្ងៀម

SolyxImmortal តំណាងឱ្យការរីកចម្រើនគួរឱ្យកត់សម្គាល់មួយនៅក្នុងមេរោគលួចព័ត៌មានដែលកំណត់គោលដៅប្រព័ន្ធ Windows។

ការគំរាមកំហែងដែលមានមូលដ្ឋានលើ Python នេះរួមបញ្ចូលគ្នានូវសមត្ថភាពលួចទិន្នន័យច្រើនទៅជាការបង្កប់ជាប់លាប់តែមួយ ដែលត្រូវបានរចនាឡើងសម្រាប់ការឃ្លាំមើលរយៈពេលវែងជាជាងសកម្មភាពបំផ្លិចបំផ្លាញ។

មេរោគនេះដំណើរការដោយស្ងៀមស្ងាត់នៅផ្ទៃខាងក្រោយ ដោយប្រមូលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណ ឯកសារ ការចុចគ្រាប់ចុច និងរូបថតអេក្រង់ ខណៈពេលដែលផ្ញើព័ត៌មានដែលត្រូវបានគេលួចដោយផ្ទាល់ទៅអ្នកវាយប្រហារតាមរយៈ Discord webhooks។

ការលេចចេញរបស់វានៅក្នុងខែមករា ឆ្នាំ 2026 បង្ហាញពីការផ្លាស់ប្តូរឆ្ពោះទៅរកគំរូប្រតិបត្តិការលួចលាក់ដែលផ្តល់អាទិភាពដល់ការត្រួតពិនិត្យជាបន្តបន្ទាប់ជាជាងការកេងប្រវ័ញ្ចយ៉ាងឆាប់រហ័ស។

វ៉ិចទ័រវាយប្រហារផ្តោតលើការចែកចាយមេរោគ ដែលវេចខ្ចប់ជាស្គ្រីប Python ដែលមើលទៅស្របច្បាប់ដែលមានឈ្មោះថា "Lethalcompany.py" ដើម្បីកំណត់គោលដៅប្រព័ន្ធ។

នៅពេលដែលត្រូវបានប្រតិបត្តិរួច SolyxImmortal នឹងបង្កើតភាពស្ថិតស្ថេរភ្លាមៗតាមរយៈយន្តការច្រើន និងបើកដំណើរការខ្សែស្រឡាយឃ្លាំមើលផ្ទៃខាងក្រោយ។

មេរោគនេះមិនរីករាលដាលទៅចំហៀង ឬរីករាលដាលដោយខ្លួនឯងទេ។ ផ្ទុយទៅវិញ វាផ្តោតទាំងស្រុងលើការប្រមូលផលទិន្នន័យពីឧបករណ៍ដែលរងការសម្របសម្រួលតែមួយ។

វិធីសាស្រ្តផ្តោតអារម្មណ៍នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាភាពមើលឃើញរយៈពេលវែងទៅលើសកម្មភាពរបស់អ្នកប្រើប្រាស់ដោយមិនទាក់ទាញការចាប់អារម្មណ៍។

អ្នកវិភាគ Cyfirma បានកំណត់អត្តសញ្ញាណ SolyxImmortal ថាជាការគំរាមកំហែងដ៏ទំនើបមួយដែលប្រើប្រាស់ Windows APIs ស្របច្បាប់ និងវេទិកាដែលគួរឱ្យទុកចិត្តសម្រាប់ការទំនាក់ទំនងបញ្ជា និងគ្រប់គ្រង។

ការរចនារបស់មេរោគនេះឆ្លុះបញ្ចាំងពីភាពចាស់ទុំនៃប្រតិបត្តិការ ដោយសង្កត់ធ្ងន់លើភាពជឿជាក់ និងការលួចលាក់ជាងភាពស្មុគស្មាញ។

ដោយប្រើប្រាស់ Discord webhooks សម្រាប់ការបញ្ជូនទិន្នន័យ អ្នកវាយប្រហារទាញយកប្រយោជន៍ពីកេរ្តិ៍ឈ្មោះរបស់វេទិកា និងការអ៊ិនគ្រីប HTTPS ដើម្បីជៀសវាងការរកឃើញដោយផ្អែកលើបណ្តាញ។

បច្ចេកទេសនេះបង្ហាញពីរបៀបដែលអ្នកគំរាមកំហែងរំលោភបំពានសេវាកម្មស្របច្បាប់កាន់តែខ្លាំងឡើងដើម្បីលាក់សកម្មភាពព្យាបាទ។

យន្តការអចិន្ត្រៃយ៍ និងការលួចអត្តសញ្ញាណកម្មវិធីរុករក

មេរោគនេះបង្កើតអចិន្ត្រៃយ៍ដោយចម្លងខ្លួនវាទៅទីតាំងដែលលាក់នៅក្នុងថត AppData ដោយប្តូរឈ្មោះវាឱ្យស្រដៀងនឹងសមាសធាតុ Windows ស្របច្បាប់។

បន្ទាប់មកវាចុះឈ្មោះខ្លួនវានៅក្នុងកូនសោរ Windows registry Run ដោយធានាបាននូវការប្រតិបត្តិដោយស្វ័យប្រវត្តិនៅពេលអ្នកប្រើប្រាស់ម្នាក់ៗចូលដោយមិនតម្រូវឱ្យមានសិទ្ធិរដ្ឋបាល។

វិធីសាស្រ្តនេះធានានូវប្រតិបត្តិការបន្ត សូម្បីតែបន្ទាប់ពីប្រព័ន្ធចាប់ផ្តើមឡើងវិញក៏ដោយ។

SolyxImmortal កំណត់គោលដៅកម្មវិធីរុករកច្រើន រួមទាំង Chrome, Edge, Brave និង Opera GX ដោយចូលប្រើថតប្រវត្តិរូបរបស់ពួកគេ។

មេរោគនេះទាញយកសោអ៊ិនគ្រីបមេរបស់កម្មវិធីរុករកដោយប្រើ Windows DPAPI បន្ទាប់មកឌិគ្រីបព័ត៌មានសម្ងាត់ដែលបានរក្សាទុកតាមរយៈការអ៊ិនគ្រីប AES-GCM។

ព័ត៌មានសម្ងាត់ដែលបានសង្គ្រោះលេចឡើងជាទម្រង់អត្ថបទធម្មតាមុនពេលការលួចចូល ដែលបង្ហាញពីវិធានការសុវត្ថិភាពក្នុងស្រុកតិចតួចបំផុត។

មេរោគនេះក៏ប្រមូលឯកសារដោយស្កេនថតផ្ទះរបស់អ្នកប្រើប្រាស់សម្រាប់ឯកសារដែលមានផ្នែកបន្ថែមជាក់លាក់ដូចជា .pdf, .docx និង .xlsx ដោយត្រងលទ្ធផលតាមទំហំឯកសារដើម្បីជៀសវាងការចំណាយលើបណ្តាញ។