VVS kradljivac
Istraživači kibernetičke sigurnosti otkrili su novi zlonamjerni softver za krađu informacija temeljen na Pythonu, nazvan VVS Stealer (također se prodaje kao VVS $tealer). Prijetnja je posebno dizajnirana za prikupljanje Discord vjerodajnica i tokena za autentifikaciju, što je označava kao još jednog sudionika u rastućem ekosustavu kradljivaca robe. Dokazi upućuju na to da se zlonamjerni softver oglašava na prodaju na Telegramu od travnja 2025.
Sadržaj
Agresivan marketing i neobično niske cijene
VVS Stealer, promoviran na Telegram kanalima kao "ultimativni kradljivac", pozicioniran je kao jeftina opcija za kibernetičke kriminalce. Nudi se u više pretplatničkih razina, od jeftinog tjednog plana do doživotne licence, što ga čini jednim od najpristupačnijih kradljivaca trenutno dostupnih na podzemnim tržištima.
Vjerojatno porijeklo i profil aktera prijetnje
Prema obavještajnim podacima objavljenim krajem travnja 2025., vjeruje se da je VVS Stealer razvio francuski govorni akter. Pojedinac ili grupa koja stoji iza njega navodno je aktivna u nekoliko Telegram zajednica povezanih s razvojem i distribucijom stealera, uključujući grupe povezane s Myth Stealerom i Eyes Stealerom.
Zamagljivanje kao ključna strategija izbjegavanja
Izvorni kod zlonamjernog softvera je uvelike maskiran pomoću PyArmora, Python zaštitnog okvira dizajniranog za kompliciranje statičke analize i detekcije na temelju potpisa. Iako PyArmor ima legitimnu komercijalnu upotrebu, autori zlonamjernog softvera ga sve više zloupotrebljavaju kako bi prikrili zlonamjernu logiku i odgodili napore obrnutog inženjeringa.
Distribucija, izvršenje i postojanost
VVS Stealer se isporučuje kao izvršna datoteka zapakirana pomoću PyInstallera, što mu omogućuje pokretanje kao samostalne Windows binarne datoteke. Nakon pokretanja, uspostavlja perzistentnost kopiranjem u direktorij za pokretanje sustava Windows, osiguravajući automatsko pokretanje nakon svakog ponovnog pokretanja sustava. Kako bi prevario žrtve, zlonamjerni softver prikazuje izmišljene skočne prozore s 'fatalnom pogreškom' koji potiču korisnike da ponovno pokrenu svoja računala, maskirajući njegovu pozadinsku aktivnost.
Mogućnosti krađe podataka
Nakon izvršenja, kradljivac prikuplja širok raspon osjetljivih informacija s kompromitiranog sustava, uključujući:
- Discord tokeni i podaci vezani uz račun
- Podaci preglednika iz preglednika temeljenih na Chromiumu i Firefoxa, kao što su kolačići, povijest pregledavanja, spremljene lozinke i unosi za automatsko popunjavanje
- Snimke zaslona snimljene sa zaraženog uređaja
- Discord injekcija i otimanje sesije
Osim osnovne krađe vjerodajnica, VVS Stealer uključuje tehnike ubrizgavanja Discorda kako bi preuzeo aktivne korisničke sesije. Prvo prisilno prekida sve pokrenute Discord procese. Zlonamjerni softver zatim dohvaća obfusirani JavaScript korisni teret s udaljenog poslužitelja. Ovaj skript koristi Chrome DevTools Protocol (CDP) za praćenje mrežnog prometa, omogućujući otmicu sesija i presretanje vjerodajnica u stvarnom vremenu nakon ponovnog pokretanja Discorda.
Šire sigurnosne implikacije
VVS Stealer ističe kontinuirani trend u razvoju modernog zlonamjernog softvera: kombinaciju pristupačnosti Pythona s naprednim zamagljivanjem kako bi se stvorili prikriveni i otporni prijetnje. Kako napadači usavršavaju ove tehnike, branitelji se suočavaju sa sve većim izazovima u otkrivanju i analizi, što naglašava potrebu za praćenjem ponašanja i proaktivnim obavještajnim podacima o prijetnjama, umjesto oslanjanja samo na statičke potpise.
