VVS Stealer
I ricercatori di sicurezza informatica hanno scoperto un nuovo malware basato su Python che ruba informazioni, denominato VVS Stealer (commercializzato anche come VVS $tealer). La minaccia è progettata specificamente per rubare credenziali e token di autenticazione Discord, il che la rende un'ulteriore minaccia nel crescente ecosistema dei ladri di beni. Le prove suggeriscono che il malware sia stato pubblicizzato per la vendita su Telegram dall'aprile 2025.
Sommario
Marketing aggressivo e prezzi insolitamente bassi
Promosso sui canali Telegram come "lo stealer definitivo", VVS Stealer si propone come un'opzione economica per i criminali informatici. È disponibile con diversi livelli di abbonamento, che vanno da un piano settimanale a basso costo a una licenza a vita, il che lo rende uno degli stealer più convenienti attualmente disponibili sul mercato nero.
Probabile origine e profilo dell'attore della minaccia
Secondo informazioni di intelligence pubblicate a fine aprile 2025, si ritiene che VVS Stealer sia stato sviluppato da un autore di minacce informatiche francofono. L'individuo o il gruppo che lo ha sviluppato sarebbe attivo in diverse comunità Telegram associate allo sviluppo e alla distribuzione di stealer, inclusi gruppi legati a Myth Stealer e Eyes Stealer.
L'offuscamento come strategia di evasione fondamentale
Il codice sorgente del malware è pesantemente offuscato tramite PyArmor, un framework di protezione Python progettato per complicare l'analisi statica e il rilevamento basato sulle firme. Sebbene PyArmor abbia legittimi usi commerciali, viene sempre più abusato dagli autori di malware per nascondere la logica dannosa e ritardare i tentativi di reverse engineering.
Distribuzione, esecuzione e persistenza
VVS Stealer viene fornito come eseguibile in pacchetto PyInstaller, che gli consente di funzionare come binario Windows autonomo. Una volta eseguito, stabilisce la persistenza copiandosi nella directory di avvio di Windows, assicurandosi di avviarsi automaticamente dopo ogni riavvio del sistema. Per ingannare le vittime, il malware visualizza pop-up fittizi di "Errore fatale" che invitano gli utenti a riavviare i computer, mascherando la sua attività in background.
Capacità di furto di dati
Dopo l'esecuzione, lo stealer raccoglie un'ampia gamma di informazioni sensibili dal sistema compromesso, tra cui:
- Token Discord e dati relativi all'account
- Dati del browser provenienti da browser basati su Chromium e Firefox, come cookie, cronologia di navigazione, password salvate e voci di compilazione automatica
- Screenshot catturati dal dispositivo infetto
Oltre al furto di credenziali di base, VVS Stealer incorpora tecniche di iniezione di Discord per assumere il controllo delle sessioni utente attive. Innanzitutto, termina forzatamente qualsiasi processo Discord in esecuzione. Il malware recupera quindi un payload JavaScript offuscato da un server remoto. Questo script sfrutta il protocollo Chrome DevTools Protocol (CDP) per monitorare il traffico di rete, consentendo il dirottamento di sessione e l'intercettazione delle credenziali in tempo reale una volta riavviato Discord.
Implicazioni più ampie sulla sicurezza
VVS Stealer evidenzia una tendenza costante nello sviluppo di malware moderni: la combinazione dell'accessibilità di Python con l'offuscamento avanzato per creare minacce stealth e resilienti. Man mano che gli aggressori affinano queste tecniche, i difensori si trovano ad affrontare sfide crescenti in termini di rilevamento e analisi, sottolineando la necessità di un monitoraggio comportamentale e di un'intelligence proattiva sulle minacce, piuttosto che affidarsi esclusivamente alle firme statiche.
