VVS स्टीलर

साइबर सुरक्षा शोधकर्ताओं ने VVS Stealer (जिसे VVS $tealer के नाम से भी बेचा जाता है) नामक एक नए पाइथन-आधारित सूचना-चोरी मैलवेयर का पता लगाया है। यह खतरा विशेष रूप से Discord क्रेडेंशियल्स और प्रमाणीकरण टोकन को चुराने के लिए बनाया गया है, जिससे यह कमोडिटी स्टीलर्स के बढ़ते इकोसिस्टम में एक और नया नाम जुड़ गया है। सबूत बताते हैं कि इस मैलवेयर का विज्ञापन अप्रैल 2025 से टेलीग्राम पर बिक्री के लिए किया जा रहा है।

आक्रामक मार्केटिंग और असाधारण रूप से सस्ती कीमतें

टेलीग्राम चैनलों में 'अल्टीमेट स्टीलर' के रूप में प्रचारित, वीवीएस स्टीलर को साइबर अपराधियों के लिए एक किफायती विकल्प के रूप में पेश किया गया है। यह कई सदस्यता योजनाओं के तहत उपलब्ध है, जिनमें कम लागत वाली साप्ताहिक योजना से लेकर आजीवन लाइसेंस तक शामिल हैं, जिससे यह भूमिगत बाजारों में उपलब्ध सबसे किफायती स्टीलर्स में से एक बन गया है।

संभावित उत्पत्ति और खतरा पैदा करने वाले कर्ता का विवरण

अप्रैल 2025 के अंत में प्रकाशित खुफिया जानकारी के अनुसार, VVS स्टीलर को एक फ्रांसीसी भाषी हमलावर द्वारा विकसित किया गया माना जा रहा है। बताया जाता है कि इसके पीछे का व्यक्ति या समूह स्टीलर के विकास और वितरण से जुड़े कई टेलीग्राम समुदायों में सक्रिय है, जिनमें मिथ स्टीलर और आइज़ स्टीलर से जुड़े समूह भी शामिल हैं।

अस्पष्टीकरण एक प्रमुख बचाव रणनीति के रूप में

इस मैलवेयर का सोर्स कोड PyArmor का उपयोग करके अत्यधिक अस्पष्ट किया गया है। PyArmor एक पायथन सुरक्षा फ्रेमवर्क है जिसे स्टैटिक विश्लेषण और सिग्नेचर-आधारित पहचान को जटिल बनाने के लिए डिज़ाइन किया गया है। PyArmor के वैध व्यावसायिक उपयोग तो हैं, लेकिन मैलवेयर बनाने वाले इसका दुरुपयोग दुर्भावनापूर्ण तर्क को छिपाने और रिवर्स-इंजीनियरिंग प्रयासों में देरी करने के लिए कर रहे हैं।

वितरण, निष्पादन और निरंतरता

VVS Stealer को PyInstaller द्वारा पैक किए गए एक्जीक्यूटेबल के रूप में डिलीवर किया जाता है, जिससे यह एक स्टैंडअलोन विंडोज बाइनरी के रूप में चल सकता है। एक बार चलने के बाद, यह खुद को विंडोज स्टार्टअप डायरेक्टरी में कॉपी करके स्थायी रूप से मौजूद रहता है, जिससे यह सुनिश्चित होता है कि सिस्टम रीबूट होने के बाद यह स्वचालित रूप से लॉन्च हो जाए। पीड़ितों को धोखा देने के लिए, मैलवेयर नकली 'घातक त्रुटि' पॉप-अप दिखाता है जो उपयोगकर्ताओं को अपने कंप्यूटर को रीस्टार्ट करने के लिए कहता है, जिससे इसकी पृष्ठभूमि में होने वाली गतिविधि छिपी रहती है।

डेटा चोरी करने की क्षमताएँ

निष्पादन के बाद, चोर प्रभावित सिस्टम से कई प्रकार की संवेदनशील जानकारी एकत्र करता है, जिनमें शामिल हैं:

• डिस्कॉर्ड टोकन और खाता-संबंधी डेटा
• क्रोमियम-आधारित ब्राउज़र और फ़ायरफ़ॉक्स से प्राप्त ब्राउज़र डेटा, जैसे कि कुकीज़, ब्राउज़िंग इतिहास, सहेजे गए पासवर्ड और ऑटोफ़िल प्रविष्टियाँ।
• संक्रमित डिवाइस से लिए गए स्क्रीनशॉट
• डिस्कॉर्ड इंजेक्शन और सेशन हाइजैकिंग

सामान्य क्रेडेंशियल चोरी के अलावा, VVS Stealer सक्रिय उपयोगकर्ता सत्रों पर कब्ज़ा करने के लिए Discord इंजेक्शन तकनीकों का उपयोग करता है। यह सबसे पहले Discord की चल रही सभी प्रक्रियाओं को जबरन बंद कर देता है। इसके बाद मैलवेयर एक रिमोट सर्वर से एक अस्पष्ट जावास्क्रिप्ट पेलोड प्राप्त करता है। यह स्क्रिप्ट नेटवर्क ट्रैफ़िक की निगरानी के लिए Chrome DevTools Protocol (CDP) का उपयोग करती है, जिससे Discord के पुनः लॉन्च होने पर सत्र अपहरण और वास्तविक समय में क्रेडेंशियल अवरोधन संभव हो जाता है।

व्यापक सुरक्षा निहितार्थ

VVS Stealer आधुनिक मैलवेयर विकास में एक निरंतर प्रवृत्ति को उजागर करता है: पाइथन की सुलभता और उन्नत अस्पष्टीकरण का संयोजन करके गुप्त और मजबूत खतरे पैदा करना। जैसे-जैसे हमलावर इन तकनीकों को परिष्कृत करते हैं, बचावकर्ताओं को पहचान और विश्लेषण में बढ़ती चुनौतियों का सामना करना पड़ता है, जो केवल स्थिर संकेतों पर निर्भर रहने के बजाय व्यवहारिक निगरानी और सक्रिय खतरे की खुफिया जानकारी की आवश्यकता को रेखांकित करता है।