VVS-diefstal
Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe, op Python gebaseerde malware ontdekt die informatie steelt, genaamd VVS Stealer (ook wel bekend als VVS $tealer). Deze dreiging is specifiek ontworpen om Discord-inloggegevens en authenticatietokens te bemachtigen, waarmee het een nieuwe speler is in het groeiende ecosysteem van malware die standaardgegevens steelt. Er zijn aanwijzingen dat de malware sinds april 2025 te koop wordt aangeboden op Telegram.
Inhoudsopgave
Agressieve marketing en ongewoon lage prijzen
VVS Stealer wordt in Telegram-kanalen aangeprezen als de 'ultieme stealer' en gepositioneerd als een goedkope optie voor cybercriminelen. Het wordt aangeboden in verschillende abonnementsvormen, variërend van een voordelig wekelijks plan tot een levenslange licentie, waardoor het een van de meest betaalbare stealers is die momenteel op de illegale markt verkrijgbaar zijn.
Waarschijnlijke oorsprong en profiel van de dreigingsactor
Volgens inlichtingen die eind april 2025 werden gepubliceerd, wordt aangenomen dat VVS Stealer is ontwikkeld door een Franstalige cybercrimineel. De persoon of groep erachter zou actief zijn in verschillende Telegram-groepen die zich bezighouden met de ontwikkeling en verspreiding van stealers, waaronder groepen die gelinkt zijn aan Myth Stealer en Eyes Stealer.
Verhulling als kernstrategie voor ontwijking.
De broncode van de malware is sterk versleuteld met PyArmor, een Python-beveiligingsframework dat is ontworpen om statische analyse en detectie op basis van signatures te bemoeilijken. Hoewel PyArmor legitieme commerciële toepassingen heeft, wordt het steeds vaker misbruikt door malware-auteurs om kwaadaardige logica te verbergen en pogingen tot reverse engineering te vertragen.
Distributie, uitvoering en persistentie
VVS Stealer wordt geleverd als een uitvoerbaar bestand dat is verpakt in PyInstaller, waardoor het als een zelfstandig Windows-programma kan worden uitgevoerd. Na uitvoering zorgt het voor persistentie door zichzelf te kopiëren naar de opstartmap van Windows, zodat het automatisch wordt gestart na elke herstart van het systeem. Om slachtoffers te misleiden, toont de malware nep-pop-ups met de melding 'Fatale fout' die gebruikers vragen hun computer opnieuw op te starten, waardoor de achtergrondactiviteit wordt gemaskeerd.
Mogelijkheden voor gegevensdiefstal
Na de uitvoering verzamelt de dief een breed scala aan gevoelige informatie van het gecompromitteerde systeem, waaronder:
- Discord-tokens en accountgerelateerde gegevens
- Browsergegevens van op Chromium gebaseerde browsers en Firefox, zoals cookies, browsegeschiedenis, opgeslagen wachtwoorden en automatisch ingevulde gegevens.
- Screenshots gemaakt van het geïnfecteerde apparaat.
- Discord-injectie en sessiekaping
Naast het stelen van inloggegevens, gebruikt VVS Stealer Discord-injectietechnieken om actieve gebruikerssessies over te nemen. Het beëindigt eerst geforceerd elk actief Discord-proces. Vervolgens haalt de malware een versleutelde JavaScript-payload op van een externe server. Dit script maakt gebruik van het Chrome DevTools Protocol (CDP) om netwerkverkeer te monitoren, waardoor sessiekaping en realtime onderschepping van inloggegevens mogelijk worden zodra Discord opnieuw wordt opgestart.
Bredere veiligheidsimplicaties
VVS Stealer illustreert een voortdurende trend in de moderne malwareontwikkeling: de combinatie van de toegankelijkheid van Python met geavanceerde obfuscatietechnieken om onopvallende en robuuste bedreigingen te creëren. Naarmate aanvallers deze technieken verfijnen, worden verdedigers geconfronteerd met steeds grotere uitdagingen op het gebied van detectie en analyse. Dit onderstreept de noodzaak van gedragsmonitoring en proactieve dreigingsinformatie in plaats van uitsluitend te vertrouwen op statische signatures.
