Kẻ trộm VVS
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại đánh cắp thông tin mới dựa trên Python có tên là VVS Stealer (cũng được tiếp thị với tên VVS $tealer). Mối đe dọa này được thiết kế đặc biệt để đánh cắp thông tin đăng nhập và mã xác thực Discord, đánh dấu sự gia nhập của nó vào hệ sinh thái ngày càng phát triển của các phần mềm đánh cắp thông tin. Bằng chứng cho thấy phần mềm độc hại này đã được rao bán trên Telegram từ tháng 4 năm 2025.
Mục lục
Chiến lược tiếp thị mạnh mẽ và giá cả rẻ bất thường
Được quảng bá trên các kênh Telegram là "phần mềm đánh cắp dữ liệu tối thượng", VVS Stealer được định vị là một lựa chọn giá rẻ dành cho tội phạm mạng. Nó được cung cấp với nhiều gói đăng ký khác nhau, từ gói hàng tuần giá thấp đến giấy phép trọn đời, khiến nó trở thành một trong những phần mềm đánh cắp dữ liệu có giá cả phải chăng nhất hiện có trên các thị trường ngầm.
Nguồn gốc có thể và hồ sơ tác nhân gây ra mối đe dọa
Theo thông tin tình báo được công bố vào cuối tháng 4 năm 2025, phần mềm độc hại VVS Stealer được cho là do một nhóm tội phạm mạng nói tiếng Pháp phát triển. Cá nhân hoặc nhóm đứng sau phần mềm này được cho là đang hoạt động trong một số cộng đồng Telegram liên quan đến việc phát triển và phân phối phần mềm đánh cắp dữ liệu, bao gồm cả các nhóm liên kết với Myth Stealer và Eyes Stealer.
Che giấu thông tin như một chiến lược né tránh cốt lõi
Mã nguồn của phần mềm độc hại được mã hóa rất phức tạp bằng PyArmor, một framework bảo vệ bằng Python được thiết kế để làm phức tạp việc phân tích tĩnh và phát hiện dựa trên chữ ký. Mặc dù PyArmor có những ứng dụng thương mại hợp pháp, nhưng nó ngày càng bị các tác giả phần mềm độc hại lạm dụng để che giấu logic độc hại và trì hoãn các nỗ lực phân tích ngược.
Phân phối, thực thi và lưu trữ
VVS Stealer được phân phối dưới dạng tệp thực thi được đóng gói bằng PyInstaller, cho phép nó chạy như một chương trình nhị phân độc lập trên Windows. Sau khi được thực thi, nó thiết lập khả năng duy trì hoạt động bằng cách sao chép chính nó vào thư mục Khởi động của Windows, đảm bảo nó tự động khởi chạy sau mỗi lần khởi động lại hệ thống. Để đánh lừa nạn nhân, phần mềm độc hại hiển thị các cửa sổ bật lên "Lỗi nghiêm trọng" giả mạo, yêu cầu người dùng khởi động lại máy tính, che giấu hoạt động ngầm của nó.
Khả năng đánh cắp dữ liệu
Sau khi thực thi, phần mềm đánh cắp thông tin sẽ thu thập một loạt các thông tin nhạy cảm từ hệ thống bị xâm nhập, bao gồm:
- Mã thông báo Discord và dữ liệu liên quan đến tài khoản
- Dữ liệu trình duyệt từ các trình duyệt dựa trên Chromium và Firefox, chẳng hạn như cookie, lịch sử duyệt web, mật khẩu đã lưu và các mục tự động điền.
- Ảnh chụp màn hình từ thiết bị bị nhiễm virus
- Tấn công chèn mã độc vào Discord và chiếm đoạt phiên kết nối
Ngoài việc đánh cắp thông tin đăng nhập cơ bản, VVS Stealer còn tích hợp các kỹ thuật tấn công chèn mã độc vào Discord để chiếm đoạt các phiên hoạt động của người dùng. Đầu tiên, nó buộc phải chấm dứt bất kỳ tiến trình Discord nào đang chạy. Sau đó, phần mềm độc hại này sẽ tải xuống một đoạn mã JavaScript đã được mã hóa từ một máy chủ từ xa. Đoạn mã này sử dụng Giao thức Công cụ dành cho Nhà phát triển Chrome (CDP) để giám sát lưu lượng mạng, cho phép chiếm đoạt phiên và chặn thông tin đăng nhập theo thời gian thực ngay khi Discord được khởi chạy lại.
Những hệ quả an ninh rộng hơn
VVS Stealer làm nổi bật một xu hướng đang tiếp diễn trong phát triển phần mềm độc hại hiện đại: sự kết hợp giữa tính dễ tiếp cận của Python với kỹ thuật che giấu mã nguồn tiên tiến để tạo ra các mối đe dọa lén lút và bền bỉ. Khi các kẻ tấn công tinh chỉnh các kỹ thuật này, những người phòng thủ phải đối mặt với những thách thức ngày càng lớn trong việc phát hiện và phân tích, nhấn mạnh sự cần thiết của việc giám sát hành vi và thu thập thông tin tình báo về mối đe dọa chủ động thay vì chỉ dựa vào các chữ ký tĩnh.
