Викрадач VVS
Дослідники з кібербезпеки виявили нове шкідливе програмне забезпечення для крадіжки інформації на основі Python під назвою VVS Stealer (також відоме як VVS $tealer). Загроза спеціально розроблена для збору облікових даних Discord та токенів автентифікації, що позначає її як ще одного учасника зростаючої екосистеми викрадачів товарів. Дані свідчать про те, що шкідливе програмне забезпечення рекламується для продажу в Telegram з квітня 2025 року.
Зміст
Агресивний маркетинг та надзвичайно низькі ціни
VVS Stealer, який рекламують у Telegram-каналах як «найкращий викрадач», позиціонується як недорогий варіант для кіберзлочинців. Він пропонується за кількома рівнями підписки, починаючи від недорогого тижневого плану і закінчуючи довічною ліцензією, що робить його одним із найдоступніших викрадачів, доступних наразі на підпільних ринках.
Ймовірне походження та профіль суб’єкта загрози
Згідно з розвідувальними даними, опублікованими наприкінці квітня 2025 року, вважається, що VVS Stealer розроблений франкомовним зловмисником. Повідомляється, що особа або група, яка стоїть за ним, активна в кількох спільнотах Telegram, пов'язаних з розробкою та розповсюдженням стілерів, включаючи групи, пов'язані з Myth Stealer та Eyes Stealer.
Заплутування як основна стратегія ухилення
Вихідний код шкідливого програмного забезпечення сильно обфускований за допомогою PyArmor, захисного фреймворку Python, розробленого для ускладнення статичного аналізу та виявлення на основі сигнатур. Хоча PyArmor має законне комерційне використання, автори шкідливих програм дедалі частіше зловживають ним для приховування шкідливої логіки та затримки зусиль зворотного проектування.
Розподіл, виконання та збереження
VVS Stealer постачається як виконуваний файл, упакований PyInstaller, що дозволяє йому запускатися як окремий бінарний файл Windows. Після запуску він встановлює персистентність, копіюючи себе в каталог автозавантаження Windows, забезпечуючи автоматичний запуск після кожного перезавантаження системи. Щоб обдурити жертв, шкідливе програмне забезпечення відображає сфабриковані спливаючі вікна «Фатальна помилка», які спонукають користувачів перезавантажити свої комп’ютери, маскуючи його фонову активність.
Можливості крадіжки даних
Після виконання зловмисник збирає широкий спектр конфіденційної інформації зі скомпрометованої системи, включаючи:
- Токени Discord та дані, пов'язані з обліковим записом
- Дані браузерів на базі Chromium та Firefox, такі як файли cookie, історія переглядів, збережені паролі та записи автозаповнення
- Знімки екрана, зроблені із зараженого пристрою
- Ін'єкція Discord та викрадення сеансу
Окрім базової крадіжки облікових даних, VVS Stealer використовує методи впровадження Discord для захоплення активних сеансів користувачів. Спочатку він примусово завершує будь-який запущений процес Discord. Потім шкідливе програмне забезпечення отримує завуальоване корисне навантаження JavaScript з віддаленого сервера. Цей скрипт використовує протокол Chrome DevTools (CDP) для моніторингу мережевого трафіку, що дозволяє захоплювати сеанси та перехоплювати облікові дані в режимі реального часу після перезапуску Discord.
Ширші наслідки для безпеки
VVS Stealer підкреслює постійну тенденцію в розробці сучасного шкідливого програмного забезпечення: поєднання доступності Python з розширеним обфускацією для створення прихованих та стійких загроз. У міру того, як зловмисники вдосконалюють ці методи, захисники стикаються зі зростаючими труднощами у виявленні та аналізі, що підкреслює необхідність поведінкового моніторингу та проактивної розвідки загроз, а не покладатися лише на статичні сигнатури.
