Rabattoffert för flera licenser
Hotdatabas Stjälare VVS-stjälen

VVS-stjälen

Med Mezo år Stjälare
Översätt till:

Cybersäkerhetsforskare har upptäckt en ny Python-baserad informationsstöldkod kallad VVS Stealer (även marknadsförd som VVS $tealer). Hotet är specifikt konstruerat för att stjäla Discord-uppgifter och autentiseringstokens, vilket markerar det som ytterligare en aktör i det växande ekosystemet av råvarustölder. Bevis tyder på att skadlig programvara har annonserats till försäljning på Telegram sedan april 2025.

Aggressiv marknadsföring och ovanligt billiga priser

VVS Stealer marknadsförs i Telegram-kanaler som den "ultimata stjälaren" och positioneras som ett billigt alternativ för cyberbrottslingar. Det erbjuds under flera prenumerationsnivåer, allt från en lågkostnadsveckoplan till en livstidslicens, vilket gör det till ett av de mest prisvärda stjälarna som för närvarande finns tillgängliga på underjordiska marknader.

Troligt ursprung och profil av hotbild

Enligt underrättelser som publicerades i slutet av april 2025 tros VVS Stealer vara utvecklad av en fransktalande hotbildare. Individen eller gruppen bakom det ska enligt uppgift vara aktiv i flera Telegram-communities kopplade till utveckling och distribution av stealers, inklusive grupper kopplade till Myth Stealer och Eyes Stealer.

Förvirring som en central strategi för att undvika attacker

Källkoden för den skadliga programvaran är kraftigt förvrängd med hjälp av PyArmor, ett Python-skyddsramverk utformat för att komplicera statisk analys och signaturbaserad detektering. Även om PyArmor har legitima kommersiella användningsområden missbrukas det i allt högre grad av utvecklare av skadlig programvara för att dölja skadlig logik och fördröja reverse engineering-insatser.

Distribution, exekvering och persistens

VVS Stealer levereras som en PyInstaller-paketerad körbar fil, vilket gör att den kan köras som en fristående Windows-binärfil. När den väl körts etablerar den persistens genom att kopiera sig själv till Windows startkatalog, vilket säkerställer att den startas automatiskt efter varje systemomstart. För att lura offren visar den skadliga programvaran fabricerade popup-fönster med "Fatal Error" som uppmanar användare att starta om sina maskiner och maskerar dess bakgrundsaktivitet.

Funktioner för datastöld

Efter exekveringen samlar stjälaren in en mängd olika känsliga uppgifter från det komprometterade systemet, inklusive:

  • Discord-tokens och kontorelaterade data
  • Webbläsardata från Chromium-baserade webbläsare och Firefox, såsom cookies, webbhistorik, sparade lösenord och autofyllda poster
  • Skärmdumpar tagna från den infekterade enheten
  • Discord-injektion och sessionskapning

Utöver grundläggande stöld av autentiseringsuppgifter använder VVS Stealer Discord-injektionstekniker för att ta över aktiva användarsessioner. Först avslutar den med kraft alla pågående Discord-processer. Skadlig programvara hämtar sedan en obfuskerad JavaScript-nyttolast från en fjärrserver. Detta skript använder Chrome DevTools Protocol (CDP) för att övervaka nätverkstrafik, vilket möjliggör sessionskapning och realtidsinsamling av autentiseringsuppgifter när Discord startas om.

Bredare säkerhetskonsekvenser

VVS Stealer belyser en fortsatt trend inom modern utveckling av skadlig kod: kombinationen av Pythons tillgänglighet med avancerad obfuskering för att skapa smygande och motståndskraftiga hot. I takt med att angripare förfinar dessa tekniker står försvarare inför ökande utmaningar inom detektering och analys, vilket understryker behovet av beteendeövervakning och proaktiv hotinformation snarare än att enbart förlita sig på statiska signaturer.

Trendigt

Mest sedda

Läser in...