Slevová nabídka pro více licencí
Databáze hrozeb Zloději Zloděj VVS

Zloděj VVS

V roce Mezo v roce Zloději
Přeložit do:

Výzkumníci v oblasti kybernetické bezpečnosti odhalili nový malware založený na Pythonu, který krade informace a je označen jako VVS Stealer (prodávaný také jako VVS $tealer). Tato hrozba je speciálně navržena tak, aby shromažďovala přihlašovací údaje a autentizační tokeny z Discordu, což ji označuje za dalšího účastníka rostoucího ekosystému zlodějů komodit. Důkazy naznačují, že malware je inzerován k prodeji na Telegramu od dubna 2025.

Agresivní marketing a neobvykle nízké ceny

VVS Stealer, propagovaný v kanálech Telegramu jako „ultimátní stealer“, je prezentován jako levná možnost pro kyberzločince. Je nabízen v několika úrovních předplatného, od levného týdenního plánu až po doživotní licenci, což z něj činí jednoho z nejdostupnějších stealerů, které jsou v současnosti na podzemních trzích k dispozici.

Pravděpodobný původ a profil aktéra hrozby

Podle zpravodajských informací zveřejněných koncem dubna 2025 je pravděpodobné, že VVS Stealer vyvinul francouzsky mluvící hacker. Jednotlivec nebo skupina, která za ním stojí, je údajně aktivní v několika telegramových komunitách spojených s vývojem a distribucí stealerů, včetně skupin spojených s Myth Stealer a Eyes Stealer.

Zamlžování jako základní strategie úniku

Zdrojový kód malwaru je silně obfuskován pomocí PyArmoru, ochranného frameworku v Pythonu, který má zkomplikovat statickou analýzu a detekci na základě signatur. Ačkoli má PyArmor legitimní komerční využití, autoři malwaru jej stále častěji zneužívají k zakrytí škodlivé logiky a zpoždění reverzního inženýrství.

Distribuce, provádění a perzistence

VVS Stealer je dodáván jako spustitelný soubor zabalený v PyInstalleru, což mu umožňuje běžet jako samostatný binární soubor systému Windows. Po spuštění se zkopíruje do spouštěcího adresáře systému Windows a zajistí tak automatické spuštění po každém restartu systému. Aby malware oběti oklamal, zobrazuje vymyšlená vyskakovací okna s nápisem „Fatální chyba“, která vyzývají uživatele k restartování počítačů a maskují tak jeho aktivitu na pozadí.

Možnosti ochrany před krádeží dat

Po provedení útoku zloděj shromáždí z napadeného systému širokou škálu citlivých informací, včetně:

  • Tokeny Discordu a data související s účtem
  • Data prohlížečů založených na Chromu a Firefoxu, jako jsou soubory cookie, historie prohlížení, uložená hesla a položky automatického vyplňování
  • Snímky obrazovky pořízené z infikovaného zařízení
  • Discord Injection a únos relace

Kromě základní krádeže přihlašovacích údajů využívá VVS Stealer techniky injection do Discordu k převzetí aktivních uživatelských relací. Nejprve násilně ukončí jakýkoli spuštěný proces Discordu. Malware poté načte z vzdáleného serveru obfuskovaný JavaScriptový datový soubor. Tento skript využívá Chrome DevTools Protocol (CDP) k monitorování síťového provozu, což umožňuje únos relací a zachycení přihlašovacích údajů v reálném čase po opětovném spuštění Discordu.

Širší bezpečnostní důsledky

VVS Stealer zdůrazňuje pokračující trend ve vývoji moderního malwaru: kombinaci přístupnosti Pythonu s pokročilým obfuskačním mechanismem pro vytváření nenápadných a odolných hrozeb. S tím, jak útočníci tyto techniky zdokonalují, čelí obránci rostoucím výzvám v detekci a analýze, což zdůrazňuje potřebu behaviorálního monitorování a proaktivní analýzy hrozeb, spíše než spoléhání se pouze na statické signatury.

Trendy

Stáhněte si svůj podvod s fakturačním e-mailem

Phishing, Spam
Neočekávané e-maily mohou představovat vážná rizika, a proto je v dnešní digitální krajině nezbytná neustálá ostražitost. Kyberzločinci často maskují své útoky jako běžnou obchodní komunikaci, aby uživatele zaskočili. Jednou z takových hrozeb je e-mailový podvod „Stáhněte si fakturu“, což je klamavá phishingová kampaň, která není spojena s žádnou legitimní společností, organizací ani subjektem,...

Nejvíce shlédnuto

Načítání...