VVS varastaja
Küberturvalisuse uurijad on avastanud uue Pythoni-põhise infovarastuspahavara nimega VVS Stealer (turundatakse ka kui VVS $tealer). See oht on spetsiaalselt loodud Discordi mandaatide ja autentimismärkide kogumiseks, mis teeb sellest järjekordse tulija kasvavas kaubavaraste ökosüsteemis. Tõendid viitavad sellele, et pahavara on Telegramis müügiks reklaamitud alates 2025. aasta aprillist.
Sisukord
Agressiivne turundus ja ebatavaliselt odav hinnakujundus
Telegrami kanalites reklaamitud kui „ülim varastaja“, on VVS Stealer positsioneeritud küberkurjategijatele soodsa valikuna. Seda pakutakse mitme tellimustaseme all, alates soodsast nädalapaketist kuni eluaegse litsentsini, mis teeb sellest ühe soodsaima varastaja, mis praegu põrandaalustel turgudel saadaval on.
Tõenäolise päritolu ja ohustaja profiil
2025. aasta aprilli lõpus avaldatud luureandmete kohaselt arvatakse, et VVS Stealeri on välja töötanud prantsuskeelne ohurühm. Selle taga olev isik või rühmitus on väidetavalt aktiivne mitmes Telegrami kogukonnas, mis on seotud varastajate arendamise ja levitamisega, sealhulgas gruppides, mis on seotud Myth Stealeri ja Eyes Stealeriga.
Hämamine kui peamine vältimisstrateegia
Pahavara lähtekood on tugevalt hägustatud PyArmori abil, mis on Pythoni kaitseraamistik, mis on loodud staatilise analüüsi ja signatuuripõhise tuvastamise keeruliseks muutmiseks. Kuigi PyArmoril on õigustatud äriline kasutus, kuritarvitavad pahavara autorid seda üha enam pahatahtliku loogika varjamiseks ja pöördprojekteerimise edasilükkamiseks.
Levitamine, teostamine ja püsivus
VVS Stealer tarnitakse PyInstalleri pakendatud käivitatava failina, mis võimaldab sellel töötada iseseisva Windowsi binaarfailina. Pärast käivitamist loob see püsivuse, kopeerides end Windowsi käivituskataloogi, tagades automaatse käivituse pärast iga süsteemi taaskäivitamist. Ohvrite petmiseks kuvab pahavara väljamõeldud „Fatal Error” hüpikaknaid, mis kutsuvad kasutajaid üles oma arvutit taaskäivitama, varjates sellega taustategevust.
Andmete varguse võimalused
Pärast hukkamist kogub varas ohustatud süsteemist laia valikut tundlikku teavet, sealhulgas:
- Discord tokenid ja kontoga seotud andmed
- Chromiumi-põhiste brauserite ja Firefoxi brauseriandmed, näiteks küpsised, sirvimisajalugu, salvestatud paroolid ja automaatselt täidetud kirjed
- Nakatunud seadmest jäädvustatud ekraanipildid
- Discordi süstimine ja seansi kaaperdamine
Lisaks põhilisele volituste vargusele kasutab VVS Stealer Discordi süstimise tehnikaid aktiivsete kasutajaseansside ülevõtmiseks. Esmalt peatab see jõuga kõik töötavad Discordi protsessid. Seejärel hangib pahavara kaugserverist hägustatud JavaScripti sisu. See skript kasutab võrguliikluse jälgimiseks Chrome DevToolsi protokolli (CDP), võimaldades seansi kaaperdamist ja reaalajas volituste pealtkuulamist pärast Discordi taaskäivitamist.
Laiemad julgeolekumõjud
VVS Stealer toob esile jätkuva trendi tänapäevase pahavara arendamises: Pythoni ligipääsetavuse ja täiustatud hägustamise kombinatsioon, et luua varjatud ja vastupidavaid ohte. Kuna ründajad neid tehnikaid täiustavad, seisavad kaitsjad silmitsi üha suuremate väljakutsetega avastamisel ja analüüsimisel, mis rõhutab käitumusliku jälgimise ja ennetava ohuteabe vajadust, mitte ainult staatiliste signatuuride kasutamist.
