VVS สตีลเลอร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ขโมยข้อมูลตัวใหม่ที่เขียนด้วยภาษา Python ชื่อ VVS Stealer (หรือที่รู้จักในชื่อ VVS $tealer) ภัยคุกคามนี้ถูกออกแบบมาโดยเฉพาะเพื่อขโมยข้อมูลประจำตัวและโทเค็นการตรวจสอบสิทธิ์ของ Discord ซึ่งจัดว่าเป็นอีกหนึ่งตัวการในระบบนิเวศของมัลแวร์ขโมยข้อมูลที่กำลังเติบโต หลักฐานชี้ให้เห็นว่ามัลแวร์นี้ถูกโฆษณาขายบน Telegram ตั้งแต่เดือนเมษายน 2025

การทำการตลาดเชิงรุกและราคาที่ถูกผิดปกติ

VVS Stealer ถูกโปรโมตในช่อง Telegram ว่าเป็น 'สุดยอดโปรแกรมขโมยข้อมูล' และถูกวางตำแหน่งให้เป็นตัวเลือกราคาประหยัดสำหรับอาชญากรไซเบอร์ มีให้เลือกหลายแพ็กเกจ ตั้งแต่แพ็กเกจรายสัปดาห์ราคาถูกไปจนถึงใบอนุญาตตลอดชีพ ทำให้เป็นหนึ่งในโปรแกรมขโมยข้อมูลที่ราคาไม่แพงที่สุดในตลาดมืดในปัจจุบัน

แหล่งที่มาที่น่าจะเป็นไปได้และโปรไฟล์ของผู้ก่อภัยคุกคาม

จากข้อมูลข่าวกรองที่เผยแพร่เมื่อปลายเดือนเมษายน 2568 เชื่อว่า VVS Stealer ถูกพัฒนาโดยผู้ก่อภัยคุกคามที่พูดภาษาฝรั่งเศส บุคคลหรือกลุ่มที่อยู่เบื้องหลังนั้นมีรายงานว่าเคลื่อนไหวอยู่ในกลุ่ม Telegram หลายแห่งที่เกี่ยวข้องกับการพัฒนาและการเผยแพร่ Stealer รวมถึงกลุ่มที่เชื่อมโยงกับ Myth Stealer และ Eyes Stealer ด้วย

การปกปิดข้อมูลเป็นกลยุทธ์หลักในการหลีกเลี่ยงภัยคุกคาม

ซอร์สโค้ดของมัลแวร์ถูกเข้ารหัสอย่างซับซ้อนโดยใช้ PyArmor ซึ่งเป็นเฟรมเวิร์กการป้องกันของ Python ที่ออกแบบมาเพื่อทำให้การวิเคราะห์แบบคงที่และการตรวจจับตามลายเซ็นทำได้ยากขึ้น แม้ว่า PyArmor จะมีประโยชน์ในการใช้งานเชิงพาณิชย์อย่างถูกต้อง แต่ก็ถูกผู้เขียนมัลแวร์นำไปใช้ในทางที่ผิดมากขึ้นเรื่อยๆ เพื่อปกปิดตรรกะที่เป็นอันตรายและชะลอความพยายามในการวิศวกรรมย้อนกลับ

การกระจาย การดำเนินการ และการคงอยู่

VVS Stealer มาในรูปแบบไฟล์ปฏิบัติการที่บรรจุด้วย PyInstaller ทำให้สามารถทำงานเป็นไบนารีแบบสแตนด์อโลนบน Windows ได้ เมื่อเรียกใช้งานแล้ว มันจะสร้างความคงอยู่โดยการคัดลอกตัวเองไปยังไดเร็กทอรี Startup ของ Windows เพื่อให้แน่ใจว่ามันจะเริ่มทำงานโดยอัตโนมัติทุกครั้งที่ระบบรีบูต เพื่อหลอกลวงเหยื่อ มัลแวร์จะแสดงป๊อปอัพ "ข้อผิดพลาดร้ายแรง" ที่สร้างขึ้นมาเพื่อแจ้งให้ผู้ใช้รีสตาร์ทเครื่อง ซึ่งเป็นการปกปิดการทำงานเบื้องหลังของมัน

ความสามารถในการขโมยข้อมูล

หลังจากดำเนินการเสร็จสิ้น ผู้โจรกรรมจะรวบรวมข้อมูลสำคัญหลากหลายประเภทจากระบบที่ถูกเจาะ ซึ่งรวมถึง:

• โทเค็น Discord และข้อมูลที่เกี่ยวข้องกับบัญชี
• ข้อมูลจากเบราว์เซอร์ที่ใช้ Chromium และ Firefox เช่น คุกกี้ ประวัติการเข้าชม รหัสผ่านที่บันทึกไว้ และข้อมูลที่กรอกอัตโนมัติ
• ภาพหน้าจอที่บันทึกจากอุปกรณ์ที่ติดไวรัส
• การแทรกโค้ด Discord และการโจรกรรมเซสชัน

นอกเหนือจากการขโมยข้อมูลประจำตัวขั้นพื้นฐานแล้ว VVS Stealer ยังใช้เทคนิคการแทรกโค้ดเข้าไปใน Discord เพื่อเข้าควบคุมเซสชันของผู้ใช้ที่กำลังใช้งานอยู่ โดยจะทำการยุติกระบวนการ Discord ที่กำลังทำงานอยู่ก่อน จากนั้นมัลแวร์จะดึงโค้ด JavaScript ที่เข้ารหัสจากเซิร์ฟเวอร์ระยะไกล สคริปต์นี้ใช้ประโยชน์จาก Chrome DevTools Protocol (CDP) เพื่อตรวจสอบการรับส่งข้อมูลเครือข่าย ทำให้สามารถโจรกรรมเซสชันและดักจับข้อมูลประจำตัวแบบเรียลไทม์ได้เมื่อ Discord เริ่มทำงานอีกครั้ง

ผลกระทบด้านความมั่นคงในวงกว้าง

VVS Stealer เน้นให้เห็นถึงแนวโน้มที่ต่อเนื่องในการพัฒนาซอฟต์แวร์มัลแวร์สมัยใหม่ นั่นคือ การผสมผสานความสามารถในการเข้าถึงของ Python เข้ากับการปกปิดขั้นสูงเพื่อสร้างภัยคุกคามที่ซ่อนเร้นและทนทาน เมื่อผู้โจมตีพัฒนาเทคนิคเหล่านี้ให้ดียิ่งขึ้น ผู้ป้องกันก็เผชิญกับความท้าทายที่เพิ่มขึ้นในการตรวจจับและวิเคราะห์ ซึ่งเน้นย้ำถึงความจำเป็นในการตรวจสอบพฤติกรรมและข่าวกรองภัยคุกคามเชิงรุก แทนที่จะพึ่งพาลายเซ็นแบบคงที่เพียงอย่างเดียว