VVS-styver
Forskere innen nettsikkerhet har avdekket en ny Python-basert informasjonsstjeler-skadevare kalt VVS Stealer (også markedsført som VVS $tealer). Trusselen er spesielt utviklet for å høste Discord-legitimasjon og autentiseringstokener, noe som markerer den som en ny aktør i det voksende økosystemet av varestyvere. Bevis tyder på at skadevaren har blitt annonsert for salg på Telegram siden april 2025.
Innholdsfortegnelse
Aggressiv markedsføring og uvanlig billig prising
VVS Stealer markedsføres i Telegram-kanaler som den «ultimate tyven», og posisjoneres som et rimelig alternativ for nettkriminelle. Det tilbys under flere abonnementsnivåer, alt fra en rimelig ukentlig plan til en livstidslisens, noe som gjør det til et av de rimeligste tyvene som for øyeblikket er tilgjengelige på undergrunnsmarkeder.
Sannsynlig opprinnelse og trusselaktørprofil
Ifølge etterretningsinformasjon publisert sent i april 2025 antas VVS Stealer å være utviklet av en fransktalende trusselaktør. Personen eller gruppen bak er angivelig aktiv i flere Telegram-fellesskap knyttet til utvikling og distribusjon av stealere, inkludert grupper knyttet til Myth Stealer og Eyes Stealer.
Tilsløring som en kjernestrategi for unnvikelse
Kildekoden til den skadelige programvaren er sterkt tilslørt ved hjelp av PyArmor, et Python-beskyttelsesrammeverk som er utviklet for å komplisere statisk analyse og signaturbasert deteksjon. Selv om PyArmor har legitim kommersiell bruk, misbrukes det i økende grad av utviklere av skadelig programvare for å skjule ondsinnet logikk og forsinke reverse engineering-arbeid.
Distribusjon, utførelse og vedvarende
VVS Stealer leveres som en PyInstaller-pakket kjørbar fil, slik at den kan kjøre som en frittstående Windows-binærfil. Når den er kjørt, etablerer den persistens ved å kopiere seg selv til Windows oppstartsmappen, noe som sikrer at den starter automatisk etter hver systemomstart. For å lure ofrene viser skadevaren fabrikkerte «Fatal Error»-popup-vinduer som ber brukere om å starte maskinene sine på nytt, og maskerer bakgrunnsaktiviteten.
Datatyverifunksjoner
Etter utførelse samler tyveren inn et bredt spekter av sensitiv informasjon fra det kompromitterte systemet, inkludert:
- Discord-tokens og kontorelaterte data
- Nettleserdata fra Chromium-baserte nettlesere og Firefox, for eksempel informasjonskapsler, nettleserlogg, lagrede passord og autofylloppføringer
- Skjermbilder tatt fra den infiserte enheten
- Discord-injeksjon og øktkapring
Utover grunnleggende tyveri av legitimasjon, bruker VVS Stealer Discord-injeksjonsteknikker for å overta aktive brukerøkter. Først avslutter den enhver kjørende Discord-prosess med makt. Skadevaren henter deretter en obfuskert JavaScript-nyttelast fra en ekstern server. Dette skriptet bruker Chrome DevTools Protocol (CDP) til å overvåke nettverkstrafikk, noe som muliggjør øktkapring og sanntids avlytting av legitimasjon når Discord startes på nytt.
Bredere sikkerhetsmessige implikasjoner
VVS Stealer fremhever en vedvarende trend innen moderne utvikling av skadelig programvare: kombinasjonen av Pythons tilgjengelighet med avansert obfuskering for å skape skjulte og robuste trusler. Etter hvert som angripere forbedrer disse teknikkene, står forsvarere overfor økende utfordringer innen deteksjon og analyse, noe som understreker behovet for atferdsovervåking og proaktiv trusselintelligens i stedet for å bare stole på statiske signaturer.
