VVS zaglis
Kiberdrošības pētnieki ir atklājuši jaunu Python bāzētu informācijas zagšanas ļaunprogrammatūru ar nosaukumu VVS Stealer (tiek tirgota arī kā VVS $tealer). Šis apdraudējums ir īpaši izstrādāts, lai iegūtu Discord akreditācijas datus un autentifikācijas žetonus, tādējādi iezīmējot to kā vēl vienu dalībnieku augošajā preču zagļu ekosistēmā. Pierādījumi liecina, ka ļaunprogrammatūra tiek reklamēta pārdošanai Telegram platformā kopš 2025. gada aprīļa.
Satura rādītājs
Agresīvs mārketings un neparasti lētas cenas
Telegram kanālos VVS Stealer tiek reklamēts kā “galīgais zaglis”, kas kibernoziedzniekiem tiek pozicionēts kā lēta iespēja. Tas tiek piedāvāts vairākos abonēšanas līmeņos, sākot no lēta nedēļas plāna līdz mūža licencei, padarot to par vienu no pieejamākajiem zagļiem, kas pašlaik pieejams nelegālajos tirgos.
Iespējamās izcelsmes un draudu izraisītāja profils
Saskaņā ar 2025. gada aprīļa beigās publicēto izlūkošanas informāciju tiek uzskatīts, ka VVS Stealer ir izstrādājis franciski runājošs apdraudējumu izpildītājs. Tiek ziņots, ka persona vai grupa, kas stāv aiz tā, aktīvi darbojas vairākās Telegram kopienās, kas saistītas ar zagļu izstrādi un izplatīšanu, tostarp grupās, kas saistītas ar Myth Stealer un Eyes Stealer.
Aptumšošana kā galvenā izvairīšanās stratēģija
Ļaunprogrammatūras pirmkods ir ievērojami maskēts, izmantojot PyArmor — Python aizsardzības ietvaru, kas izstrādāts, lai sarežģītu statisko analīzi un uz parakstiem balstītu noteikšanu. Lai gan PyArmor ir likumīgi komerciāli pielietojumi, ļaunprogrammatūras autori to arvien biežāk ļaunprātīgi izmanto, lai slēptu ļaunprātīgu loģiku un aizkavētu reversās inženierijas centienus.
Izplatīšana, izpilde un noturība
VVS Stealer tiek piegādāts kā PyInstaller iepakota izpildāmā programma, kas ļauj tai darboties kā atsevišķam Windows binārajam failam. Pēc palaišanas tā nodrošina pastāvīgu darbību, kopējot sevi Windows startēšanas direktorijā, nodrošinot automātisku palaišanu pēc katras sistēmas pārstartēšanas. Lai maldinātu upurus, ļaunprogrammatūra parāda izdomātus uznirstošos logus ar nosaukumu “Fatal Error”, kas mudina lietotājus restartēt datorus, maskējot fona aktivitātes.
Datu zādzības iespējas
Pēc izpildes zaglis no kompromitētās sistēmas apkopo plašu sensitīvas informācijas klāstu, tostarp:
- Discord žetoni un ar kontu saistītie dati
- Pārlūkprogrammas dati no Chromium bāzes pārlūkprogrammām un Firefox, piemēram, sīkfaili, pārlūkošanas vēsture, saglabātās paroles un automātiskās aizpildes ieraksti
- Ekrānuzņēmumi, kas uzņemti no inficētās ierīces
- Discord injekcija un sesijas nolaupīšana
Papildus pamata akreditācijas datu zādzībai VVS Stealer ietver Discord injekcijas metodes, lai pārņemtu aktīvās lietotāju sesijas. Vispirms tas piespiedu kārtā pārtrauc jebkuru darbojošos Discord procesu. Pēc tam ļaunprogrammatūra no attālināta servera izgūst apmulsinātu JavaScript vērtumu. Šis skripts izmanto Chrome DevTools protokolu (CDP), lai uzraudzītu tīkla trafiku, nodrošinot sesijas nolaupīšanu un akreditācijas datu pārtveršanu reāllaikā, tiklīdz Discord tiek atkārtoti palaists.
Plašākas drošības sekas
VVS Stealer izceļ pastāvīgu tendenci mūsdienu ļaunprogrammatūru izstrādē: Python pieejamības apvienojums ar uzlabotu obfuskāciju, lai radītu neuzkrītošus un noturīgus draudus. Uzbrucējiem pilnveidojot šīs metodes, aizstāvji saskaras ar arvien lielākām problēmām atklāšanā un analīzē, uzsverot nepieciešamību pēc uzvedības uzraudzības un proaktīvas draudu izlūkošanas, nevis tikai paļaušanās uz statiskiem parakstiem.
