VVS Stealer
Studiuesit e sigurisë kibernetike kanë zbuluar një program të ri keqdashës të bazuar në Python, i quajtur VVS Stealer (i tregtuar edhe si VVS $tealer). Kërcënimi është projektuar posaçërisht për të mbledhur kredencialet dhe tokenët e autentifikimit të Discord, duke e shënuar atë si një tjetër hyrje në ekosistemin në rritje të vjedhësve të mallrave. Provat sugjerojnë se programi keqdashës është reklamuar për shitje në Telegram që nga prilli i vitit 2025.
Tabela e Përmbajtjes
Marketing agresiv dhe çmime jashtëzakonisht të lira
I promovuar në kanalet e Telegram si 'hajduti përfundimtar', VVS Stealer pozicionohet si një opsion i lirë për kriminelët kibernetikë. Ofrohet në nivele të shumta abonimi, duke filluar nga një plan javor me kosto të ulët deri te një licencë për jetë, duke e bërë atë një nga hajdutët më të përballueshëm aktualisht të disponueshëm në tregjet nëntokësore.
Origjina e mundshme dhe profili i aktorit të kërcënimit
Sipas inteligjencës së publikuar në fund të prillit 2025, besohet se VVS Stealer është zhvilluar nga një aktor kërcënimi që flet frëngjisht. Individi ose grupi që qëndron pas tij thuhet se është aktiv në disa komunitete të Telegramit të lidhura me zhvillimin dhe shpërndarjen e hajdutëve, duke përfshirë grupet e lidhura me Myth Stealer dhe Eyes Stealer.
Errësimi si një strategji thelbësore shmangieje
Kodi burimor i malware-it është shumë i turbullt duke përdorur PyArmor, një strukturë mbrojtëse Python e projektuar për të komplikuar analizën statike dhe zbulimin e bazuar në nënshkrime. Ndërsa PyArmor ka përdorime legjitime komerciale, ai abuzohet gjithnjë e më shumë nga autorët e malware-it për të fshehur logjikën keqdashëse dhe për të vonuar përpjekjet e inxhinierisë së kundërt.
Shpërndarja, Ekzekutimi dhe Qëndrueshmëria
VVS Stealer ofrohet si një skedar ekzekutues i paketuar nga PyInstaller, duke e lejuar atë të funksionojë si një skedar binar i pavarur i Windows. Pasi ekzekutohet, ai krijon qëndrueshmëri duke kopjuar veten në direktorinë e fillimit të Windows, duke siguruar që të hapet automatikisht pas çdo rinisjeje të sistemit. Për të mashtruar viktimat, malware shfaq dritare të sajuara 'Fatal Gabim' që i nxisin përdoruesit të rinisnin makinat e tyre, duke maskuar aktivitetin e tij në sfond.
Aftësitë e Vjedhjes së të Dhënave
Pas ekzekutimit, hajduti mbledh një gamë të gjerë informacionesh të ndjeshme nga sistemi i kompromentuar, duke përfshirë:
- Tokenët e Discord dhe të dhënat që lidhen me llogarinë
- Të dhënat e shfletuesit nga shfletuesit e bazuar në Chromium dhe Firefox, të tilla si cookie-t, historiku i shfletimit, fjalëkalimet e ruajtura dhe hyrjet e plotësimit automatik
- Pamje të ekranit të kapura nga pajisja e infektuar
- Injeksioni i Discord dhe rrëmbimi i sesionit
Përtej vjedhjes bazë të kredencialeve, VVS Stealer përfshin teknikat e injektimit të Discord për të marrë përsipër seancat aktive të përdoruesve. Së pari, ai ndërpret me forcë çdo proces Discord në ekzekutim. Malware më pas merr një ngarkesë të paqartë JavaScript nga një server i largët. Ky skript shfrytëzon Protokollin Chrome DevTools (CDP) për të monitoruar trafikun e rrjetit, duke mundësuar rrëmbimin e seancave dhe përgjimin e kredencialeve në kohë reale pasi Discord të riniset.
Implikime më të gjera të sigurisë
VVS Stealer nxjerr në pah një trend të vazhdueshëm në zhvillimin modern të malware-it: kombinimin e aksesueshmërisë së Python me mjegullimin e avancuar për të krijuar kërcënime të fshehta dhe rezistente. Ndërsa sulmuesit i përsosin këto teknika, mbrojtësit përballen me sfida në rritje në zbulimin dhe analizën, duke nënvizuar nevojën për monitorim të sjelljes dhe inteligjencë proaktive të kërcënimeve në vend të mbështetjes vetëm në nënshkrimet statike.
