VVS kradljivac
Raziskovalci kibernetske varnosti so odkrili novo zlonamerno programsko opremo za krajo informacij, ki temelji na Pythonu in je poimenovana VVS Stealer (trži se tudi kot VVS $tealer). Grožnja je posebej zasnovana za pridobivanje poverilnic in žetonov za preverjanje pristnosti Discorda, kar jo označuje za še enega udeleženca v rastočem ekosistemu kradljivcev blaga. Dokazi kažejo, da se zlonamerna programska oprema oglašuje za prodajo na Telegramu od aprila 2025.
Kazalo
Agresivno trženje in nenavadno nizke cene
VVS Stealer, ki ga v Telegramovih kanalih oglašujejo kot »ultimativnega kradljivca«, je postavljen kot poceni možnost za kibernetske kriminalce. Na voljo je v več naročniških stopnjah, od cenovno ugodnega tedenskega paketa do doživljenjske licence, zaradi česar je eden najbolj dostopnih kradljivcev, ki so trenutno na voljo na podzemnih trgih.
Verjetni izvor in profil akterja grožnje
Glede na obveščevalne podatke, objavljene konec aprila 2025, naj bi VVS Stealer razvil francosko govoreči akter grožnje. Posameznik ali skupina, ki stoji za njim, naj bi bila aktivna v več skupnostih Telegrama, povezanih z razvojem in distribucijo stealerjev, vključno s skupinami, povezanimi z Myth Stealerjem in Eyes Stealerjem.
Zatemnitev kot ključna strategija izogibanja
Izvorna koda zlonamerne programske opreme je močno zakrita z uporabo PyArmorja, zaščitnega ogrodja Python, zasnovanega za oteževanje statične analize in zaznavanja na podlagi podpisov. Čeprav ima PyArmor legitimno komercialno uporabo, ga avtorji zlonamerne programske opreme vse pogosteje zlorabljajo za prikrivanje zlonamerne logike in odlašanje poskusov obratnega inženiringa.
Distribucija, izvedba in vztrajnost
VVS Stealer je dostavljen kot izvedljiva datoteka, zapakirana s PyInstallerjem, kar mu omogoča delovanje kot samostojne binarne datoteke sistema Windows. Ko se zažene, vzpostavi obstojnost tako, da se kopira v zagonski imenik sistema Windows in zagotovi, da se samodejno zažene po vsakem ponovnem zagonu sistema. Da bi zavedla žrtve, zlonamerna programska oprema prikazuje izmišljena pojavna okna »Usodna napaka«, ki uporabnike pozivajo k ponovnemu zagonu računalnikov in s tem prikrivajo njeno aktivnost v ozadju.
Zmogljivosti za krajo podatkov
Po izvedbi tat zbere širok nabor občutljivih informacij iz ogroženega sistema, vključno z:
- Žetoni Discorda in podatki, povezani z računom
- Podatki brskalnika iz brskalnikov Chromium in Firefoxa, kot so piškotki, zgodovina brskanja, shranjena gesla in vnosi za samodejno izpolnjevanje
- Posnetki zaslona, zajeti z okužene naprave
- Vbrizgavanje v Discord in ugrabitev seje
Poleg osnovne kraje poverilnic VVS Stealer vključuje tehnike vbrizgavanja v Discord za prevzem aktivnih uporabniških sej. Najprej prisilno prekine vse delujoče procese Discorda. Zlonamerna programska oprema nato pridobi zakrito koristno vsebino JavaScript z oddaljenega strežnika. Ta skripta uporablja protokol Chrome DevTools Protocol (CDP) za spremljanje omrežnega prometa, kar omogoča ugrabitev sej in prestrezanje poverilnic v realnem času, ko se Discord znova zažene.
Širše varnostne posledice
VVS Stealer poudarja nenehen trend v razvoju sodobne zlonamerne programske opreme: kombinacijo dostopnosti Pythona z naprednim zakrivanjem za ustvarjanje prikritih in odpornih groženj. Ko napadalci izpopolnjujejo te tehnike, se branilci soočajo z vse večjimi izzivi pri odkrivanju in analizi, kar poudarja potrebo po vedenjskem spremljanju in proaktivnem obveščanju o grožnjah, namesto da bi se zanašali zgolj na statične podpise.
