VVS Hırsızı
Siber güvenlik araştırmacıları, VVS Stealer (VVS $tealer olarak da pazarlanıyor) olarak adlandırılan yeni bir Python tabanlı bilgi hırsızlığı kötü amaçlı yazılımını ortaya çıkardı. Tehdit, özellikle Discord kimlik bilgilerini ve kimlik doğrulama belirteçlerini ele geçirmek üzere tasarlanmış olup, giderek büyüyen emtia hırsızlığı ekosistemine yeni bir üye olarak katılıyor. Kanıtlar, kötü amaçlı yazılımın Nisan 2025'ten beri Telegram'da satışa sunulduğunu gösteriyor.
İçindekiler
Agresif Pazarlama ve Olağanüstü Ucuz Fiyatlandırma
Telegram kanallarında 'nihai hırsız' olarak tanıtılan VVS Stealer, siber suçlular için ucuz bir seçenek olarak konumlandırılıyor. Düşük maliyetli haftalık plandan ömür boyu lisansa kadar çeşitli abonelik kademelerinde sunulan bu yazılım, yeraltı piyasalarında şu anda mevcut olan en uygun fiyatlı hırsızlardan biri.
Muhtemel Köken ve Tehdit Aktörü Profili
Nisan 2025 sonlarında yayınlanan istihbarata göre, VVS Stealer'ın Fransızca konuşan bir tehdit aktörü tarafından geliştirildiğine inanılıyor. Bu saldırının arkasındaki kişi veya grubun, Myth Stealer ve Eyes Stealer ile bağlantılı gruplar da dahil olmak üzere, Stealer geliştirme ve dağıtımıyla ilgili çeşitli Telegram topluluklarında aktif olduğu bildiriliyor.
Gizleme, Temel Bir Kaçırma Stratejisi Olarak
Kötü amaçlı yazılımın kaynak kodu, statik analizi ve imza tabanlı tespiti zorlaştırmak için tasarlanmış bir Python koruma çerçevesi olan PyArmor kullanılarak yoğun bir şekilde gizlenmiştir. PyArmor'ın meşru ticari kullanımları olsa da, kötü amaçlı yazılım yazarları tarafından kötü niyetli mantığı gizlemek ve tersine mühendislik çalışmalarını geciktirmek için giderek daha fazla kötüye kullanılmaktadır.
Dağıtım, Yürütme ve Kalıcılık
VVS Stealer, PyInstaller ile paketlenmiş bir yürütülebilir dosya olarak sunulur ve bu sayede bağımsız bir Windows ikili dosyası olarak çalıştırılabilir. Çalıştırıldıktan sonra, kendisini Windows Başlangıç dizinine kopyalayarak kalıcılık sağlar ve her sistem yeniden başlatıldığında otomatik olarak başlatılmasını garanti eder. Kurbanları aldatmak için, kötü amaçlı yazılım, arka plandaki faaliyetlerini gizleyerek kullanıcıları makinelerini yeniden başlatmaya teşvik eden sahte 'Ölümcül Hata' açılır pencereleri görüntüler.
Veri Hırsızlığı Yetenekleri
Çalıştırıldıktan sonra, hırsız ele geçirdiği sistemden çok çeşitli hassas bilgiler toplar; bunlar arasında şunlar bulunur:
- Discord token'ları ve hesapla ilgili veriler
- Çerezler, tarama geçmişi, kaydedilmiş şifreler ve otomatik doldurma girişleri gibi Chromium tabanlı tarayıcılardan ve Firefox'tan alınan tarayıcı verileri.
- Virüs bulaşmış cihazdan alınan ekran görüntüleri.
- Discord Enjeksiyonu ve Oturum Ele Geçirme
Temel kimlik bilgisi hırsızlığının ötesinde, VVS Stealer aktif kullanıcı oturumlarını ele geçirmek için Discord enjeksiyon tekniklerini kullanır. İlk olarak çalışan tüm Discord işlemlerini zorla sonlandırır. Ardından kötü amaçlı yazılım, uzak bir sunucudan gizlenmiş bir JavaScript yükü alır. Bu komut dosyası, ağ trafiğini izlemek için Chrome Geliştirici Araçları Protokolü'nü (CDP) kullanır ve Discord yeniden başlatıldığında oturum ele geçirme ve gerçek zamanlı kimlik bilgisi yakalama olanağı sağlar.
Daha Geniş Güvenlik Etkileri
VVS Stealer, modern kötü amaçlı yazılım geliştirmede devam eden bir eğilimi vurguluyor: Python'ın erişilebilirliğinin gelişmiş gizleme teknikleriyle birleştirilmesiyle gizli ve dayanıklı tehditler oluşturulması. Saldırganlar bu teknikleri geliştirdikçe, savunucular tespit ve analizde artan zorluklarla karşılaşıyor; bu da yalnızca statik imzalara güvenmek yerine davranışsal izleme ve proaktif tehdit istihbaratına duyulan ihtiyacın altını çiziyor.
