Pencuri VVS
Penyelidik keselamatan siber telah menemui perisian hasad pencuri maklumat berasaskan Python baharu yang digelar VVS Stealer (juga dipasarkan sebagai VVS $tealer). Ancaman ini direka bentuk khusus untuk menuai kelayakan Discord dan token pengesahan, menandakannya sebagai peserta lain dalam ekosistem pencuri komoditi yang semakin berkembang. Bukti menunjukkan perisian hasad tersebut telah diiklankan untuk dijual di Telegram sejak April 2025.
Isi kandungan
Pemasaran Agresif dan Harga Luar Biasa Murah
Dipromosikan di saluran Telegram sebagai 'pencuri terunggul', VVS Stealer diletakkan sebagai pilihan yang murah untuk penjenayah siber. Ia ditawarkan di bawah pelbagai peringkat langganan, daripada pelan mingguan kos rendah hingga lesen seumur hidup, menjadikannya salah satu pencuri paling berpatutan yang kini terdapat di pasaran bawah tanah.
Kemungkinan Asal dan Profil Pelakon Ancaman
Menurut risikan yang diterbitkan pada akhir April 2025, VVS Stealer dipercayai dibangunkan oleh pelaku ancaman yang berbahasa Perancis. Individu atau kumpulan di sebaliknya dilaporkan aktif dalam beberapa komuniti Telegram yang berkaitan dengan pembangunan dan pengedaran stealer, termasuk kumpulan yang dikaitkan dengan Myth Stealer dan Eyes Stealer.
Kekeliruan sebagai Strategi Pengelakan Teras
Kod sumber perisian hasad ini dikaburkan sepenuhnya menggunakan PyArmor, rangka kerja perlindungan Python yang direka untuk merumitkan analisis statik dan pengesanan berasaskan tandatangan. Walaupun PyArmor mempunyai kegunaan komersial yang sah, ia semakin disalahgunakan oleh pengarang perisian hasad untuk menyembunyikan logik berniat jahat dan melambatkan usaha kejuruteraan terbalik.
Pengedaran, Pelaksanaan dan Kegigihan
VVS Stealer dihantar sebagai fail boleh laku yang dibungkus PyInstaller, membolehkannya berjalan sebagai binari Windows yang berdiri sendiri. Setelah dilaksanakan, ia mewujudkan kegigihan dengan menyalin dirinya sendiri ke dalam direktori Windows Startup, memastikan ia dilancarkan secara automatik selepas setiap but semula sistem. Untuk memperdaya mangsa, perisian hasad memaparkan tetingkap timbul 'Ralat Maut' yang direka-reka yang meminta pengguna memulakan semula mesin mereka, menutupi aktiviti latar belakangnya.
Keupayaan Kecurian Data
Selepas pelaksanaan, pencuri mengumpul pelbagai maklumat sensitif daripada sistem yang dikompromi, termasuk:
- Token Discord dan data berkaitan akaun
- Data pelayar daripada pelayar berasaskan Chromium dan Firefox, seperti kuki, sejarah pelayaran, kata laluan yang disimpan dan entri autoisi
- Tangkapan skrin yang diambil daripada peranti yang dijangkiti
- Suntikan Discord dan Rampasan Sesi
Selain daripada kecurian kelayakan asas, VVS Stealer menggabungkan teknik suntikan Discord untuk mengambil alih sesi pengguna aktif. Ia pertama sekali menamatkan sebarang proses Discord yang sedang berjalan secara paksa. Malware kemudiannya mengambil muatan JavaScript yang dikaburkan daripada pelayan jauh. Skrip ini memanfaatkan Protokol Chrome DevTools (CDP) untuk memantau trafik rangkaian, membolehkan rampasan sesi dan pintasan kelayakan masa nyata sebaik sahaja Discord dilancarkan semula.
Implikasi Keselamatan yang Lebih Luas
VVS Stealer mengetengahkan trend berterusan dalam pembangunan perisian hasad moden: gabungan kebolehcapaian Python dengan pengelakan lanjutan untuk mewujudkan ancaman yang tersembunyi dan berdaya tahan. Ketika penyerang memperhalusi teknik ini, pembela menghadapi cabaran yang semakin meningkat dalam pengesanan dan analisis, menekankan keperluan untuk pemantauan tingkah laku dan risikan ancaman proaktif dan bukannya bergantung pada tandatangan statik sahaja.
