VVS 스틸러

사이버 보안 연구원들이 VVS Stealer(또는 VVS $tealer로 알려짐)라는 새로운 파이썬 기반 정보 탈취 악성코드를 발견했습니다. 이 악성코드는 특히 Discord 계정 정보와 인증 토큰을 탈취하도록 설계되었으며, 점점 확산되고 있는 정보 탈취 악성코드 생태계에 새롭게 합류한 것으로 보입니다. 이 악성코드는 2025년 4월부터 Telegram에서 판매 광고가 이루어진 것으로 추정됩니다.

공격적인 마케팅과 이례적으로 저렴한 가격 책정

텔레그램 채널에서 '궁극의 스틸러'로 홍보되는 VVS Stealer는 사이버 범죄자들에게 저렴한 옵션으로 자리매김하고 있습니다. 저렴한 주간 플랜부터 평생 라이선스까지 다양한 구독 플랜을 제공하여 현재 암시장에서 구할 수 있는 가장 저렴한 스틸러 중 하나입니다.

발생 예상 경로 및 위협 행위자 프로필

2025년 4월 말에 공개된 정보에 따르면, VVS Stealer는 프랑스어를 사용하는 위협 행위자에 의해 개발된 것으로 추정됩니다. 이 악성코드를 개발한 개인 또는 단체는 Myth Stealer 및 Eyes Stealer와 관련된 그룹을 포함하여, 스틸러 개발 및 배포와 관련된 여러 텔레그램 커뮤니티에서 활동하는 것으로 알려져 있습니다.

핵심 회피 전략으로서의 은폐

해당 악성코드의 소스 코드는 정적 분석 및 시그니처 기반 탐지를 어렵게 하도록 설계된 파이썬 보호 프레임워크인 PyArmor를 사용하여 심하게 난독화되어 있습니다. PyArmor는 합법적인 상업적 용도로도 사용되지만, 악성코드 제작자들이 악의적인 로직을 숨기고 역분석 작업을 지연시키기 위해 악용하는 사례가 점점 늘어나고 있습니다.

배포, 실행 및 지속성

VVS Stealer는 PyInstaller로 패키징된 실행 파일 형태로 배포되어 독립 실행형 Windows 바이너리로 실행됩니다. 실행되면 Windows 시작 디렉터리에 자체 파일을 복사하여 시스템 재부팅 시 자동으로 실행되도록 하여 지속성을 확보합니다. 피해자를 속이기 위해 악성 프로그램은 사용자에게 컴퓨터를 재시작하라는 가짜 '치명적인 오류' 팝업창을 표시하여 백그라운드에서 실행되는 것을 숨깁니다.

데이터 탈취 기능

실행 후, 공격자는 침해된 시스템에서 다음과 같은 다양한 민감한 정보를 수집합니다.

• 디스코드 토큰 및 계정 관련 데이터
• 크로뮴 기반 브라우저 및 파이어폭스에서 수집된 쿠키, 검색 기록, 저장된 비밀번호, 자동 완성 항목 등의 브라우저 데이터
• 감염된 기기에서 캡처한 스크린샷

VVS Stealer는 기본적인 계정 정보 탈취를 넘어 Discord 인젝션 기법을 사용하여 활성 사용자 세션을 장악합니다. 먼저 실행 중인 Discord 프로세스를 강제로 종료합니다. 그런 다음 원격 서버에서 난독화된 JavaScript 페이로드를 가져옵니다. 이 스크립트는 Chrome 개발자 도구 프로토콜(CDP)을 활용하여 네트워크 트래픽을 모니터링하고, Discord가 다시 실행되면 세션 하이재킹과 실시간 계정 정보 탈취를 가능하게 합니다.

더 광범위한 안보적 함의

VVS Stealer는 현대 악성코드 개발의 지속적인 추세를 보여줍니다. 파이썬의 접근성과 고급 난독화 기법을 결합하여 은밀하고 강력한 위협을 만들어내는 것입니다. 공격자들이 이러한 기법을 더욱 정교하게 다듬어감에 따라 방어자들은 탐지 및 분석에 있어 점점 더 큰 어려움에 직면하고 있으며, 이는 정적인 시그니처에만 의존하기보다는 행동 모니터링과 사전 예방적인 위협 인텔리전스의 필요성을 강조합니다.