Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ladrões Ladrão VVS

Ladrão VVS

Por Mezo em Ladrões
Traduzir Para:

Pesquisadores de cibersegurança descobriram um novo malware para roubo de informações baseado em Python, apelidado de VVS Stealer (também comercializado como VVS $tealer). A ameaça foi especificamente projetada para coletar credenciais e tokens de autenticação do Discord, tornando-se mais um participante no crescente ecossistema de ladrões de dados. Há indícios de que o malware vem sendo anunciado para venda no Telegram desde abril de 2025.

Marketing agressivo e preços excepcionalmente baixos.

Promovido em canais do Telegram como o "ladrão definitivo", o VVS Stealer se posiciona como uma opção barata para cibercriminosos. Ele é oferecido em vários planos de assinatura, que variam de um plano semanal de baixo custo a uma licença vitalícia, tornando-o um dos roubadores de dados mais acessíveis atualmente disponíveis em mercados clandestinos.

Provável origem e perfil do agente da ameaça

Segundo informações divulgadas no final de abril de 2025, acredita-se que o VVS Stealer tenha sido desenvolvido por um agente malicioso de língua francesa. O indivíduo ou grupo responsável por ele estaria ativo em diversas comunidades do Telegram associadas ao desenvolvimento e distribuição de stealers, incluindo grupos ligados ao Myth Stealer e ao Eyes Stealer.

A ocultação como estratégia central de evasão

O código-fonte do malware está fortemente ofuscado usando PyArmor, uma estrutura de proteção em Python projetada para dificultar a análise estática e a detecção baseada em assinaturas. Embora o PyArmor tenha usos comerciais legítimos, ele é cada vez mais explorado por autores de malware para ocultar lógica maliciosa e atrasar os esforços de engenharia reversa.

Distribuição, Execução e Persistência

O VVS Stealer é distribuído como um executável empacotado pelo PyInstaller, permitindo que seja executado como um binário independente do Windows. Uma vez executado, ele estabelece persistência copiando-se para o diretório de inicialização do Windows, garantindo que seja iniciado automaticamente após cada reinicialização do sistema. Para enganar as vítimas, o malware exibe pop-ups falsos de "Erro Fatal" que solicitam aos usuários que reiniciem seus computadores, mascarando sua atividade em segundo plano.

Capacidades de roubo de dados

Após a execução, o invasor coleta uma ampla gama de informações confidenciais do sistema comprometido, incluindo:

  • Tokens do Discord e dados relacionados à conta
  • Dados do navegador de navegadores baseados no Chromium e no Firefox, como cookies, histórico de navegação, senhas salvas e entradas de preenchimento automático.
  • Capturas de tela feitas a partir do dispositivo infectado
  • Injeção de Discord e sequestro de sessão

Além do roubo básico de credenciais, o VVS Stealer incorpora técnicas de injeção no Discord para assumir o controle de sessões de usuários ativos. Primeiro, ele encerra à força qualquer processo do Discord em execução. Em seguida, o malware recupera um payload JavaScript ofuscado de um servidor remoto. Esse script utiliza o Protocolo de Ferramentas de Desenvolvedor do Chrome (CDP) para monitorar o tráfego de rede, permitindo o sequestro de sessão e a interceptação de credenciais em tempo real assim que o Discord for reiniciado.

Implicações de segurança mais amplas

O VVS Stealer destaca uma tendência contínua no desenvolvimento de malware moderno: a combinação da acessibilidade do Python com ofuscação avançada para criar ameaças furtivas e resilientes. À medida que os atacantes aprimoram essas técnicas, os defensores enfrentam desafios crescentes na detecção e análise, ressaltando a necessidade de monitoramento comportamental e inteligência de ameaças proativa, em vez de depender apenas de assinaturas estáticas.

Tendendo

Mais visto

Carregando...