VVS tolvaj
Kiberbiztonsági kutatók lelepleztek egy új, Python-alapú, információlopó kártevőt, a VVS Stealer-t (más néven VVS $tealer). A fenyegetést kifejezetten a Discord hitelesítő adatok és hitelesítési tokenek megszerzésére tervezték, ezzel egy újabb belépővé téve a növekvő árucikk-lopók ökoszisztémájában. A bizonyítékok arra utalnak, hogy a kártevőt 2025 áprilisa óta hirdetik eladásra a Telegramon.
Tartalomjegyzék
Agresszív marketing és szokatlanul olcsó árak
A Telegram csatornáin „végső tolvajként” reklámozott VVS Stealer olcsó opcióként pozicionálódik a kiberbűnözők számára. Több előfizetési szinten is elérhető, az alacsony költségű heti csomagtól az életre szóló licencig, így ez az egyik legolcsóbb tolvaj, amely jelenleg elérhető az illegális piacokon.
Valószínűsíthető származási és fenyegetést jelentő szereplő profilja
A 2025 áprilisának végén közzétett hírszerzési adatok szerint a VVS Stealert feltehetően egy francia ajkú fenyegető szereplő fejlesztette. A mögötte álló személy vagy csoport állítólag több Telegram-közösségben is aktív, amelyek a stealer fejlesztésével és terjesztésével kapcsolatosak, beleértve a Myth Stealerhez és az Eyes Stealerhez köthető csoportokat is.
A homályosítás mint alapvető kitérési stratégia
A kártevő forráskódját erősen obfuszkálták a PyArmor segítségével, amely egy Python védelmi keretrendszer, és amelynek célja a statikus elemzés és az aláírás-alapú észlelés bonyolítása. Bár a PyArmornak jogos kereskedelmi felhasználási lehetőségei vannak, a kártevők szerzői egyre inkább visszaélnek vele, hogy elrejtsék a rosszindulatú logikát és késleltessék a visszafejtési erőfeszítéseket.
Terjesztés, végrehajtás és fennmaradás
A VVS Stealer egy PyInstaller csomagban található futtatható fájlként érhető el, így önálló Windows bináris fájlként futtatható. Futtatás után a Windows Startup könyvtárába másolva biztosítja a megmaradást, így minden rendszer-újraindítás után automatikusan elindul. Az áldozatok megtévesztésére a kártevő kitalált „Végzetes hiba” felugró ablakokat jelenít meg, amelyek a felhasználókat a gép újraindítására kérik, elfedve a háttérben zajló tevékenységet.
Adatlopási képességek
A végrehajtás után a tolvaj számos érzékeny információt gyűjt a feltört rendszerből, beleértve:
- Discord tokenek és fiókkal kapcsolatos adatok
- Chromium-alapú böngészőkből és a Firefoxból származó böngészőadatok, például sütik, böngészési előzmények, mentett jelszavak és automatikus kitöltési bejegyzések
- A fertőzött eszközről rögzített képernyőképek
- Discord injekció és munkamenet-eltérítés
Az alapvető hitelesítő adatok ellopásán túl a VVS Stealer Discord injekciós technikákat is alkalmaz az aktív felhasználói munkamenetek átvételére. Először kényszerítetten leállít minden futó Discord folyamatot. A rosszindulatú program ezután egy távoli szerverről kér le egy megzavart JavaScript adatcsomagot. Ez a szkript a Chrome DevTools Protocol (CDP) segítségével figyeli a hálózati forgalmat, lehetővé téve a munkamenet-eltérítést és a valós idejű hitelesítő adatok lehallgatását, amint a Discord újraindul.
Tágabb biztonsági vonatkozások
A VVS Stealer rávilágít egy folyamatos trendre a modern rosszindulatú szoftverek fejlesztésében: a Python akadálymentesítésének és a fejlett obfuszkálásnak a kombinációja, amely lopakodó és ellenálló fenyegetéseket hoz létre. Ahogy a támadók finomítják ezeket a technikákat, a védők egyre nagyobb kihívásokkal szembesülnek az észlelés és az elemzés során, ami aláhúzza a viselkedésfigyelés és a proaktív fenyegetésfelderítés szükségességét a statikus aláírásokra való kizárólagos támaszkodás helyett.
