Крадец на VVS
Изследователи по киберсигурност откриха нов зловреден софтуер, базиран на Python, за кражба на информация, наречен VVS Stealer (наричан още VVS $tealer). Заплахата е специално разработена за събиране на идентификационни данни и токени за удостоверяване от Discord, което я маркира като още един участник в нарастващата екосистема от крадци на стоки. Доказателствата сочат, че зловреден софтуер се рекламира за продажба в Telegram от април 2025 г.
Съдържание
Агресивен маркетинг и необичайно ниски цени
Рекламиран в Telegram каналите като „най-добрият крадец на вредни програми“, VVS Stealer е позициониран като евтин вариант за киберпрестъпниците. Предлага се с множество абонаментни нива, вариращи от евтин седмичен план до доживотен лиценз, което го прави един от най-достъпните крадци на вредни програми, предлагани в момента на подземните пазари.
Вероятен произход и профил на заплашителния актьор
Според разузнавателна информация, публикувана в края на април 2025 г., се смята, че VVS Stealer е разработен от френскоговорящ хакер. Лицето или групата, стояща зад него, е активна в няколко Telegram общности, свързани с разработването и разпространението на крадци на вируси, включително групи, свързани с Myth Stealer и Eyes Stealer.
Замъгляването като основна стратегия за избягване
Изходният код на зловредния софтуер е силно обфускиран с помощта на PyArmor, защитна рамка на Python, предназначена да усложни статичния анализ и откриването въз основа на сигнатури. Въпреки че PyArmor има легитимни търговски приложения, той все по-често се злоупотребява от авторите на злонамерен софтуер, за да прикрият злонамерена логика и да забавят усилията за обратно инженерство.
Разпределение, изпълнение и запазване
VVS Stealer се доставя като изпълним файл, пакетиран с PyInstaller, което му позволява да работи като самостоятелен двоичен файл на Windows. След като се изпълни, той установява постоянство, като се копира в директорията за стартиране на Windows, гарантирайки автоматичното си стартиране след всяко рестартиране на системата. За да заблуди жертвите, зловредният софтуер показва измислени изскачащи прозорци „Фатална грешка“, които подканват потребителите да рестартират машините си, маскирайки фоновата му активност.
Възможности за кражба на данни
След изпълнението, крадецът събира широк набор от чувствителна информация от компрометираната система, включително:
- Discord токени и данни, свързани с акаунта
- Данни от браузъри, базирани на Chromium, и Firefox, като например „бисквитки“, история на сърфиране, запазени пароли и записи за автоматично попълване
- Снимки на екрана, заснети от заразеното устройство
- Инжектиране в Discord и отвличане на сесия
Освен основната кражба на идентификационни данни, VVS Stealer използва техники за инжектиране на Discord, за да поеме контрола над активните потребителски сесии. Първо, той насилствено прекратява всеки работещ Discord процес. След това зловредният софтуер извлича обфускиран JavaScript полезен товар от отдалечен сървър. Този скрипт използва Chrome DevTools Protocol (CDP), за да наблюдава мрежовия трафик, което позволява отвличане на сесии и прихващане на идентификационни данни в реално време, след като Discord бъде рестартиран.
По-широки последици за сигурността
VVS Stealer подчертава продължаваща тенденция в разработването на съвременни злонамерени програми: комбинацията от достъпност на Python с усъвършенствано обфускация за създаване на скрити и устойчиви заплахи. Тъй като атакуващите усъвършенстват тези техники, защитниците се сблъскват с нарастващи предизвикателства при откриването и анализа, което подчертава необходимостта от поведенчески мониторинг и проактивно разузнаване на заплахите, вместо да се разчита само на статични сигнатури.
