VVS крадљивац
Истраживачи сајбер безбедности открили су нови злонамерни софтвер за крађу информација, базиран на Пајтону, назван VVS Stealer (такође познат као VVS $tealer). Претња је посебно дизајнирана за прикупљање података са Дискорда, акредитива и токена за аутентификацију, што је означава као још једног учесника у растућем екосистему крадљиваца робе. Докази указују на то да се злонамерни софтвер оглашава за продају на Телеграму од априла 2025. године.
Преглед садржаја
Агресиван маркетинг и необично јефтине цене
Промовисан на Телеграм каналима као „ултимативни крадљивац“, VVS Stealer је позициониран као јефтина опција за сајбер криминалце. Нуди се у више нивоа претплате, од јефтиног недељног плана до доживотне лиценце, што га чини једним од најприступачнијих крадљиваца тренутно доступних на илегалним тржиштима.
Вероватно порекло и профил актера претње
Према обавештајним подацима објављеним крајем априла 2025. године, верује се да је VVS Stealer развио претња која говори француски. Појединац или група која стоји иза њега наводно је активна у неколико Телеграм заједница повезаних са развојем и дистрибуцијом крађа, укључујући групе повезане са Myth Stealer и Eyes Stealer.
Замагљивање као основна стратегија избегавања
Изворни код злонамерног софтвера је у великој мери замаскиран коришћењем PyArmor-а, Python заштитног оквира дизајнираног да компликује статичку анализу и детекцију засновану на потписима. Иако PyArmor има легитимну комерцијалну употребу, аутори злонамерног софтвера га све више злоупотребљавају како би прикрили злонамерну логику и одложили напоре реверзног инжењеринга.
Дистрибуција, извршење и истрајност
VVS Stealer се испоручује као извршна датотека упакована помоћу PyInstaller-а, што му омогућава да се покреће као самостална Windows бинарна датотека. Једном покренут, успоставља перзистентност тако што се копира у директоријум Windows Startup, осигуравајући да се аутоматски покреће након сваког поновног покретања система. Да би преварио жртве, злонамерни софтвер приказује измишљене искачуће прозоре „Фатална грешка“ који подстичу кориснике да поново покрену своје рачунаре, маскирајући његову позадинску активност.
Могућности крађе података
Након извршења, крадљивац прикупља широк спектар осетљивих информација са компромитованог система, укључујући:
- Discord токени и подаци везани за налог
- Подаци прегледача из прегледача заснованих на Chromium-у и Firefox-а, као што су колачићи, историја прегледања, сачуване лозинке и уноси за аутоматско попуњавање
- Снимци екрана снимљени са зараженог уређаја
- Убризгавање Discord-а и отмица сесије
Поред основне крађе акредитива, VVS Stealer користи технике убризгавања у Discord како би преузео активне корисничке сесије. Прво насилно прекида сваки покренути Discord процес. Злонамерни софтвер затим преузима замаскирани JavaScript садржај са удаљеног сервера. Овај скрипт користи Chrome DevTools Protocol (CDP) за праћење мрежног саобраћаја, омогућавајући отмицу сесија и пресретање акредитива у реалном времену након поновног покретања Discord-а.
Шире импликације по безбедност
VVS Stealer истиче континуирани тренд у развоју модерног малвера: комбинацију приступачности Пајтона са напредним замагљивањем како би се створиле прикривене и отпорне претње. Како нападачи усавршавају ове технике, браниоци се суочавају са све већим изазовима у откривању и анализи, што наглашава потребу за праћењем понашања и проактивним обавештајним подацима о претњама, уместо ослањања само на статичке потписе.
