دزدگیر VVS

محققان امنیت سایبری یک بدافزار جدید سرقت اطلاعات مبتنی بر پایتون به نام VVS Stealer (که با نام VVS $tealer نیز به بازار عرضه می‌شود) را کشف کرده‌اند. این تهدید به طور خاص برای سرقت اعتبارنامه‌ها و توکن‌های احراز هویت Discord طراحی شده است و آن را به عنوان یکی دیگر از رقبای اکوسیستم رو به رشد سارقان کالا معرفی می‌کند. شواهد نشان می‌دهد که این بدافزار از آوریل 2025 برای فروش در تلگرام تبلیغ شده است.

بازاریابی تهاجمی و قیمت‌گذاری غیرمعمول و ارزان

VVS Stealer که در کانال‌های تلگرام به عنوان «سرقت‌کننده‌ی نهایی» تبلیغ می‌شود، به عنوان گزینه‌ای ارزان برای مجرمان سایبری معرفی شده است. این برنامه در چندین سطح اشتراک، از طرح هفتگی کم‌هزینه گرفته تا مجوز مادام‌العمر، ارائه می‌شود و آن را به یکی از مقرون‌به‌صرفه‌ترین ابزارهای سرقت موجود در بازارهای زیرزمینی تبدیل می‌کند.

منشأ احتمالی و مشخصات عامل تهدید

طبق اطلاعات منتشر شده در اواخر آوریل ۲۰۲۵، گمان می‌رود که VVS Stealer توسط یک عامل تهدید فرانسوی زبان توسعه داده شده است. طبق گزارش‌ها، فرد یا گروه پشت آن در چندین انجمن تلگرامی مرتبط با توسعه و توزیع بدافزار، از جمله گروه‌های مرتبط با Myth Stealer و Eyes Stealer، فعال است.

مبهم‌سازی به عنوان یک استراتژی اصلی فرار

کد منبع این بدافزار با استفاده از PyArmor، یک چارچوب حفاظتی پایتون که برای پیچیده کردن تحلیل استاتیک و تشخیص مبتنی بر امضا طراحی شده است، به شدت مبهم‌سازی شده است. در حالی که PyArmor کاربردهای تجاری مشروعی دارد، اما به طور فزاینده‌ای توسط نویسندگان بدافزار برای پنهان کردن منطق مخرب و به تأخیر انداختن تلاش‌های مهندسی معکوس مورد سوءاستفاده قرار می‌گیرد.

توزیع، اجرا و ماندگاری

VVS Stealer به عنوان یک فایل اجرایی بسته‌بندی‌شده در PyInstaller ارائه می‌شود که به آن اجازه می‌دهد به عنوان یک فایل باینری مستقل ویندوز اجرا شود. پس از اجرا، با کپی کردن خود در دایرکتوری Startup ویندوز، پایداری خود را ایجاد می‌کند و اطمینان حاصل می‌کند که پس از هر بار راه‌اندازی مجدد سیستم، به طور خودکار راه‌اندازی می‌شود. برای فریب قربانیان، این بدافزار پنجره‌های پاپ‌آپ جعلی «خطای مهلک» را نمایش می‌دهد که کاربران را به راه‌اندازی مجدد دستگاه‌های خود ترغیب می‌کند و فعالیت پس‌زمینه خود را پنهان می‌کند.

قابلیت‌های سرقت داده‌ها

پس از اجرا، سارق طیف گسترده‌ای از اطلاعات حساس را از سیستم آلوده جمع‌آوری می‌کند، از جمله:

• توکن‌های دیسکورد و داده‌های مربوط به حساب کاربری
• داده‌های مرورگر از مرورگرهای مبتنی بر Chromium و Firefox، مانند کوکی‌ها، تاریخچه مرور، رمزهای عبور ذخیره شده و ورودی‌های تکمیل خودکار
• اسکرین‌شات‌های گرفته شده از دستگاه آلوده

فراتر از سرقت اولیه‌ی اعتبارنامه‌ها، VVS Stealer از تکنیک‌های تزریق Discord برای تصاحب جلسات فعال کاربر استفاده می‌کند. ابتدا هرگونه فرآیند در حال اجرا در Discord را به زور خاتمه می‌دهد. سپس این بدافزار یک فایل جاوا اسکریپت مبهم را از یک سرور از راه دور بازیابی می‌کند. این اسکریپت از پروتکل Chrome DevTools (CDP) برای نظارت بر ترافیک شبکه استفاده می‌کند و پس از راه‌اندازی مجدد Discord، امکان ربودن جلسه و رهگیری اعتبارنامه‌ها را به صورت بلادرنگ فراهم می‌کند.

پیامدهای امنیتی گسترده‌تر

VVS Stealer یک روند مداوم در توسعه بدافزارهای مدرن را برجسته می‌کند: ترکیب دسترسی‌پذیری پایتون با مبهم‌سازی پیشرفته برای ایجاد تهدیدهای پنهانی و مقاوم. همزمان با بهبود این تکنیک‌ها توسط مهاجمان، مدافعان با چالش‌های فزاینده‌ای در تشخیص و تجزیه و تحلیل مواجه می‌شوند که بر نیاز به نظارت رفتاری و هوش تهدید پیشگیرانه به جای تکیه صرف بر امضاهای ایستا تأکید می‌کند.