VVS vagys
Kibernetinio saugumo tyrėjai atrado naują „Python“ pagrindu sukurtą informaciją vagiančią kenkėjišką programą, pavadintą „VVS Stealer“ (taip pat parduodamą kaip „VVS $tealer“). Ši grėsmė yra specialiai sukurta siekiant gauti „Discord“ prisijungimo duomenis ir autentifikavimo žetonus, todėl ji yra dar vienas augančios prekių vagių ekosistemos dalyvis. Įrodymai rodo, kad kenkėjiška programa buvo reklamuojama kaip parduodama „Telegram“ platformoje nuo 2025 m. balandžio mėn.
Turinys
Agresyvi rinkodara ir neįprastai mažos kainos
„Telegram“ kanaluose reklamuojamas kaip „galutinis vagis“, „VVS Stealer“ pozicionuojamas kaip nebrangus pasirinkimas kibernetiniams nusikaltėliams. Jis siūlomas pagal kelis prenumeratos lygius – nuo pigaus savaitinio plano iki viso gyvenimo licencijos, todėl tai yra vienas iš šiuo metu prieinamų vagių, esančių pogrindinėse rinkose.
Tikėtinos kilmės ir grėsmės aktoriaus profilis
Remiantis 2025 m. balandžio pabaigoje paskelbta žvalgybos informacija, manoma, kad „VVS Stealer“ sukūrė prancūzakalbis grėsmės veikėjas. Pranešama, kad už jos atsakingas asmuo arba grupė aktyviai dalyvauja keliose „Telegram“ bendruomenėse, susijusiose su „vagiklių“ kūrimu ir platinimu, įskaitant grupes, susijusias su „Myth Stealer“ ir „Eyes Stealer“.
Obfuskacija kaip pagrindinė vengimo strategija
Kenkėjiškos programos šaltinio kodas yra smarkiai užmaskuotas naudojant „PyArmor“ – „Python“ apsaugos sistemą, skirtą apsunkinti statinę analizę ir parašais pagrįstą aptikimą. Nors „PyArmor“ turi teisėtų komercinių panaudojimo būdų, kenkėjiškų programų autoriai vis dažniau jį piktnaudžiauja, kad nuslėptų kenkėjišką logiką ir atidėtų atvirkštinės inžinerijos pastangas.
Platinimas, vykdymas ir išlikimas
„VVS Stealer“ pateikiamas kaip „PyInstaller“ supakuotas vykdomasis failas, todėl jis gali veikti kaip atskiras „Windows“ dvejetainis failas. Paleidus, jis išlieka kopijuojamas į „Windows“ paleisties katalogą, užtikrindamas, kad būtų automatiškai paleistas po kiekvieno sistemos perkrovimo. Siekdama apgauti aukas, kenkėjiška programa rodo suklastotus „Fatal Error“ iššokančius langus, kurie ragina vartotojus paleisti savo kompiuterius iš naujo, taip užmaskuodami foninę veiklą.
Duomenų vagystės galimybės
Po vykdymo vagis iš pažeistos sistemos surenka daug neskelbtinos informacijos, įskaitant:
- „Discord“ žetonai ir su paskyra susiję duomenys
- Naršyklės duomenys iš „Chromium“ pagrindu sukurtų naršyklių ir „Firefox“, pvz., slapukai, naršymo istorija, išsaugoti slaptažodžiai ir automatinio pildymo įrašai
- Iš užkrėsto įrenginio užfiksuotos ekrano kopijos
- „Discord“ injekcija ir sesijos užgrobimas
Be pagrindinio kredencialų vagystės, „VVS Stealer“ naudoja „Discord“ injekcijos metodus, kad perimtų aktyvius vartotojų seansus. Pirmiausia ji priverstinai nutraukia bet kokį veikiantį „Discord“ procesą. Tada kenkėjiška programa iš nuotolinio serverio nuskaito užmaskuotą „JavaScript“ paketą. Šis scenarijus naudoja „Chrome DevTools“ protokolą (CDP), kad stebėtų tinklo srautą, įgalindamas seansų užgrobimą ir kredencialų perėmimą realiuoju laiku, kai „Discord“ paleistas iš naujo.
Platesnės saugumo pasekmės
„VVS Stealer“ pabrėžia nuolatinę šiuolaikinių kenkėjiškų programų kūrimo tendenciją: „Python“ prieinamumo ir pažangios obfuskacijos derinimas, siekiant sukurti slaptas ir atsparias grėsmes. Užpuolikams tobulinant šias technikas, gynėjai susiduria su vis didesniais aptikimo ir analizės iššūkiais, todėl reikia stebėti elgesį ir gauti aktyvią grėsmių informaciją, o ne pasikliauti vien statiniais parašais.
