Złodziej VVS
Badacze cyberbezpieczeństwa odkryli nowe, oparte na Pythonie złośliwe oprogramowanie kradnące informacje, nazwane VVS Stealer (sprzedawane również jako VVS $tealer). Zagrożenie to zostało zaprojektowane specjalnie w celu gromadzenia danych uwierzytelniających i tokenów uwierzytelniających Discorda, co czyni je kolejnym nowym graczem w rozwijającym się ekosystemie złodziei towarów. Dowody sugerują, że złośliwe oprogramowanie jest reklamowane na sprzedaż w Telegramie od kwietnia 2025 roku.
Spis treści
Agresywny marketing i niezwykle niskie ceny
Promowany na kanałach Telegramu jako „najlepszy złodziej”, VVS Stealer jest pozycjonowany jako niedroga opcja dla cyberprzestępców. Jest oferowany w ramach wielu poziomów subskrypcji, od taniego planu tygodniowego po licencję dożywotnią, co czyni go jednym z najtańszych programów do kradzieży dostępnych obecnie na czarnym rynku.
Prawdopodobne pochodzenie i profil sprawcy zagrożenia
Według danych wywiadowczych opublikowanych pod koniec kwietnia 2025 roku, VVS Stealer prawdopodobnie został stworzony przez francuskojęzycznego cyberprzestępcę. Osoba lub grupa stojąca za nim jest podobno aktywna w kilku społecznościach Telegrama związanych z rozwojem i dystrybucją stealera, w tym w grupach powiązanych z Myth Stealer i Eyes Stealer.
Zaciemnianie jako podstawowa strategia unikania
Kod źródłowy złośliwego oprogramowania jest mocno zaciemniony za pomocą PyArmor, frameworka ochrony w Pythonie, zaprojektowanego w celu skomplikowania analizy statycznej i wykrywania opartego na sygnaturach. Chociaż PyArmor ma legalne zastosowania komercyjne, jest coraz częściej nadużywany przez twórców złośliwego oprogramowania do ukrywania złośliwej logiki i opóźniania działań w zakresie inżynierii wstecznej.
Dystrybucja, wykonanie i trwałość
VVS Stealer jest dostarczany jako plik wykonywalny w pakiecie PyInstaller, co pozwala na jego uruchomienie jako samodzielnego pliku binarnego systemu Windows. Po uruchomieniu, tworzy on trwałą kopię, kopiując się do katalogu startowego systemu Windows, co zapewnia automatyczne uruchamianie się po każdym ponownym uruchomieniu systemu. Aby oszukać ofiary, złośliwe oprogramowanie wyświetla sfabrykowane wyskakujące okienka z komunikatem o błędzie krytycznym, które nakłaniają użytkowników do ponownego uruchomienia komputerów, maskując w ten sposób swoje działania w tle.
Możliwości kradzieży danych
Po wykonaniu operacji złodziej zbiera szeroką gamę poufnych informacji z zainfekowanego systemu, w tym:
- Tokeny Discord i dane związane z kontem
- Dane przeglądarki z przeglądarek opartych na Chromium i Firefox, takie jak pliki cookie, historia przeglądania, zapisane hasła i wpisy autouzupełniania
- Zrzuty ekranu wykonane z zainfekowanego urządzenia
- Wstrzykiwanie Discorda i przechwytywanie sesji
Poza podstawową kradzieżą danych uwierzytelniających, VVS Stealer wykorzystuje techniki wstrzykiwania Discorda, aby przejąć aktywne sesje użytkowników. Najpierw wymusza zamknięcie każdego uruchomionego procesu Discorda. Następnie złośliwe oprogramowanie pobiera zaciemniony kod JavaScript ze zdalnego serwera. Skrypt ten wykorzystuje protokół Chrome DevTools (CDP) do monitorowania ruchu sieciowego, umożliwiając przechwytywanie sesji i przechwytywanie danych uwierzytelniających w czasie rzeczywistym po ponownym uruchomieniu Discorda.
Szersze implikacje dla bezpieczeństwa
VVS Stealer podkreśla utrzymujący się trend w rozwoju współczesnego złośliwego oprogramowania: połączenie łatwości obsługi języka Python z zaawansowanym zaciemnianiem kodu w celu tworzenia ukrytych i odpornych zagrożeń. W miarę jak atakujący udoskonalają te techniki, obrońcy stają przed coraz większymi wyzwaniami w zakresie wykrywania i analizy, co podkreśla potrzebę monitorowania zachowań i proaktywnej analizy zagrożeń, zamiast polegania wyłącznie na statycznych sygnaturach.
