Pesquisadores reportaram o surgimento do infostealer denominado 'SolyxImmortal', que abusa de APIs legítimas e bibliotecas para exfiltrar dados para webhooks no Discord.
Características técnicas
De acordo com a matéria citada, o SolyxImmortal explora APIs e bibliotecas legítimas como canal para recolher informações do sistema e transmiti‑las para servidores controlados pelos atacantes via Discord webhooks. O uso de infraestrutura legítima para exfiltração complica a detecção baseada apenas em listas de bloqueio.
Vetor de exfiltração
O componente de exfiltração direciona dados para endpoints de webhook do Discord; a reportagem não fornece amostras binárias, hashes ou indicadores de comprometimento completos, apenas a descrição do mecanismo de envio por Discord.
Capacidades relatadas
Segundo a cobertura, trata‑se de um information stealer com objetivo de coletar dados sensíveis do endpoint. A notícia não detalha escopo exato (credenciais, tokens, cookies, capturas de tela), mas destaca o uso de APIs e bibliotecas legítimas para evitar detecção.
Detecção e mitigação
Com o uso de infraestruturas legítimas como canais de exfiltração, recomendações práticas incluem:
- Monitorar conexões para webhooks e domínios usados por plataformas de colaboração (incluindo padrões de uso atípicos);
- Harden de endpoints para reduzir execução de código não autorizado e restringir bibliotecas de terceiros por controle de integridade;
- Aplicar EDR/monitoramento que detecte comportamento anômalo (padrões de coleta de dados, criação de arquivos temporários, chamadas de API em massa) em vez de depender exclusivamente de assinaturas.
Limitações das informações públicas
A cobertura original não apresenta provas públicas de campanhas em larga escala nem indicadores completos de comprometimento. Não há menção a vítimas identificadas ou ao autor por trás da ferramenta.
Fonte
Relato do SecurityWeek sobre o surgimento do infostealer 'SolyxImmortal'.