Hoțul VVS

Cercetătorii în domeniul securității cibernetice au descoperit un nou malware bazat pe Python, care fură informații, numit VVS Stealer (comercializat și sub numele de VVS $tealer). Amenințarea este special concepută pentru a colecta acreditări și token-uri de autentificare Discord, marcând-o ca un alt participant în ecosistemul în creștere al furturilor de informații. Dovezile sugerează că malware-ul a fost promovat spre vânzare pe Telegram din aprilie 2025.

Marketing agresiv și prețuri neobișnuit de mici

Promovat pe canalele Telegram drept „hoțul suprem”, VVS Stealer este poziționat ca o opțiune ieftină pentru infractorii cibernetici. Este oferit sub mai multe niveluri de abonament, de la un plan săptămânal low-cost până la o licență pe viață, ceea ce îl face unul dintre cele mai accesibile hoți de programe disponibile în prezent pe piețele underground.

Origine probabilă și profilul actorului amenințător

Conform informațiilor publicate la sfârșitul lunii aprilie 2025, se crede că VVS Stealer a fost dezvoltat de un actor de amenințare francofon. Se pare că persoana sau grupul din spatele acestuia este activ în mai multe comunități Telegram asociate cu dezvoltarea și distribuirea de stealer-uri, inclusiv grupuri legate de Myth Stealer și Eyes Stealer.

Obfuscarea ca strategie de evitare a dependenților de context

Codul sursă al malware-ului este puternic ofuscat folosind PyArmor, un framework de protecție Python conceput pentru a complica analiza statică și detectarea bazată pe semnături. Deși PyArmor are utilizări comerciale legitime, este din ce în ce mai mult folosit în mod abuziv de autorii de malware pentru a ascunde logica rău intenționată și a întârzia eforturile de inginerie inversă.

Distribuție, execuție și persistență

VVS Stealer este livrat ca un fișier executabil pachet PyInstaller, permițându-i să ruleze ca un binar Windows independent. Odată executat, stabilește persistența prin copierea sa în directorul Startup Windows, asigurându-se că se lansează automat după fiecare repornire a sistemului. Pentru a înșela victimele, malware-ul afișează ferestre pop-up fabricate de tip „Eroare fatală” care îi solicită utilizatorilor să repornească computerele, mascand activitatea sa în fundal.

Capacități de furt de date

După execuție, hoțul colectează o gamă largă de informații sensibile din sistemul compromis, inclusiv:

• Jetoane Discord și date legate de cont
• Date de browser din browserele bazate pe Chromium și Firefox, cum ar fi cookie-urile, istoricul de navigare, parolele salvate și intrările de completare automată
• Capturi de ecran realizate de pe dispozitivul infectat
• Injecție Discord și Deturnare de Sesiune

Dincolo de furtul de bază al acreditărilor, VVS Stealer încorporează tehnici de injectare Discord pentru a prelua controlul asupra sesiunilor active ale utilizatorilor. Mai întâi, termină forțat orice proces Discord care rulează. Apoi, malware-ul preia o sarcină JavaScript ofuscată de pe un server la distanță. Acest script utilizează protocolul Chrome DevTools (CDP) pentru a monitoriza traficul de rețea, permițând deturnarea sesiunilor și interceptarea acreditărilor în timp real odată ce Discord este relansat.

Implicații mai largi de securitate

VVS Stealer evidențiază o tendință continuă în dezvoltarea de programe malware moderne: combinarea accesibilității din Python cu ofuscarea avansată pentru a crea amenințări ascunse și rezistente. Pe măsură ce atacatorii perfecționează aceste tehnici, apărătorii se confruntă cu provocări tot mai mari în detectarea și analiza, subliniind nevoia de monitorizare comportamentală și de informații proactive despre amenințări, mai degrabă decât să se bazeze doar pe semnături statice.