سارق نظام VVS
كشف باحثو الأمن السيبراني عن برمجية خبيثة جديدة لسرقة المعلومات، مبنية على لغة بايثون، تُعرف باسم VVS Stealer (وتُسوّق أيضًا باسم VVS $tealer). صُممت هذه البرمجية خصيصًا لسرقة بيانات اعتماد ديسكورد ورموز المصادقة، ما يجعلها إضافة جديدة إلى منظومة البرمجيات الخبيثة المتنامية لسرقة البيانات. تشير الأدلة إلى أن هذه البرمجية الخبيثة معروضة للبيع على تيليجرام منذ أبريل 2025.
جدول المحتويات
التسويق العدواني والأسعار الرخيصة بشكل غير عادي
يُروج لبرنامج VVS Stealer في قنوات تيليجرام باعتباره "أداة السرقة المثالية"، ويُقدم كخيار غير مكلف لمجرمي الإنترنت. ويُقدم البرنامج ضمن باقات اشتراك متعددة، تتراوح بين خطة أسبوعية منخفضة التكلفة ورخصة مدى الحياة، مما يجعله أحد أكثر أدوات السرقة المتوفرة حاليًا بأسعار معقولة في الأسواق السوداء.
المصدر المحتمل وملف تعريف الجهة الفاعلة المهددة
بحسب معلومات استخباراتية نُشرت أواخر أبريل 2025، يُعتقد أن برنامج VVS Stealer الخبيث طُوّر من قِبل جهة تهديد ناطقة بالفرنسية. ويُقال إن الفرد أو المجموعة التي تقف وراءه نشطة في العديد من مجتمعات تيليجرام المرتبطة بتطوير وتوزيع برامج السرقة، بما في ذلك مجموعات مرتبطة ببرنامجي Myth Stealer وEyes Stealer.
التمويه كاستراتيجية أساسية للتهرب
يُخفي برنامج البرمجيات الخبيثة شفرة المصدر بشكل كبير باستخدام PyArmor، وهو إطار عمل حماية مكتوب بلغة بايثون مصمم لتعقيد التحليل الثابت والكشف القائم على التوقيعات. ورغم أن لـ PyArmor استخدامات تجارية مشروعة، إلا أنه يُساء استخدامه بشكل متزايد من قبل مطوري البرمجيات الخبيثة لإخفاء منطق خبيث وتأخير جهود الهندسة العكسية.
التوزيع والتنفيذ والاستمرارية
يُوزَّع برنامج VVS Stealer كملف تنفيذي مُغلَّف باستخدام PyInstaller، مما يسمح بتشغيله كملف تنفيذي مستقل لنظام ويندوز. بمجرد تشغيله، يُثبِّت نفسه في النظام عن طريق نسخه إلى مجلد بدء التشغيل، مما يضمن تشغيله تلقائيًا بعد كل إعادة تشغيل للنظام. ولخداع الضحايا، يعرض البرنامج نوافذ منبثقة مُختلقة بعنوان "خطأ فادح" تحث المستخدمين على إعادة تشغيل أجهزتهم، مُخفيًا بذلك نشاطه في الخلفية.
قدرات سرقة البيانات
بعد التنفيذ، يقوم السارق بجمع مجموعة واسعة من المعلومات الحساسة من النظام المخترق، بما في ذلك:
- رموز ديسكورد والبيانات المتعلقة بالحساب
- بيانات المتصفح من المتصفحات المستندة إلى Chromium وFirefox، مثل ملفات تعريف الارتباط وسجل التصفح وكلمات المرور المحفوظة وإدخالات التعبئة التلقائية
- لقطات شاشة مأخوذة من الجهاز المصاب
بالإضافة إلى سرقة بيانات الاعتماد الأساسية، يستخدم برنامج VVS Stealer تقنيات حقن Discord للسيطرة على جلسات المستخدمين النشطة. يبدأ البرنامج بإنهاء أي عملية Discord قيد التشغيل قسرًا. ثم يسترجع البرنامج الخبيث حمولة JavaScript مشفرة من خادم بعيد. يستغل هذا البرنامج بروتوكول أدوات مطوري Chrome (CDP) لمراقبة حركة مرور الشبكة، مما يُمكّن من اختطاف الجلسات واعتراض بيانات الاعتماد في الوقت الفعلي بمجرد إعادة تشغيل Discord.
الآثار الأمنية الأوسع نطاقاً
يُسلّط برنامج VVS Stealer الضوء على اتجاهٍ مُستمر في تطوير البرمجيات الخبيثة الحديثة: الجمع بين سهولة استخدام لغة بايثون وتقنيات التمويه المُتقدمة لإنشاء تهديدات خفية ومرنة. ومع تحسين المُهاجمين لهذه التقنيات، يواجه المُدافعون تحديات مُتزايدة في الكشف والتحليل، مما يُؤكد الحاجة إلى مُراقبة السلوك والاستخبارات الاستباقية للتهديدات بدلاً من الاعتماد على التوقيعات الثابتة فقط.
