VVS窃取者

网络安全研究人员发现了一种名为 VVS Stealer（也以 VVS $tealer 的名称销售）的新型基于 Python 的信息窃取恶意软件。该威胁专门用于窃取 Discord 凭据和身份验证令牌，使其成为日益壮大的商品窃取恶意软件生态系统中的又一新成员。有证据表明，该恶意软件自 2025 年 4 月起就在 Telegram 上进行销售。

激进的营销策略和异常低廉的价格

VVS Stealer在Telegram频道中被宣传为“终极窃取工具”，定位为网络犯罪分子的廉价选择。它提供多种订阅方案，从低价的周计划到终身授权，使其成为目前地下市场上最经济实惠的窃取工具之一。

可能的来源和威胁行为者概况

根据2025年4月下旬公布的情报，VVS Stealer据信是由一名讲法语的威胁行为者开发的。据报道，该恶意软件背后的个人或组织活跃于多个与恶意软件开发和传播相关的Telegram社群，其中包括与Myth Stealer和Eyes Stealer相关的社群。

混淆作为一种核心规避策略

该恶意软件的源代码使用 PyArmor 进行了高度混淆。PyArmor 是一个 Python 安全框架，旨在增加静态分析和基于特征码的检测难度。虽然 PyArmor 有合法的商业用途，但它正日益被恶意软件作者滥用，用于隐藏恶意逻辑并延缓逆向工程。

分发、执行和持久化

VVS Stealer 以 PyInstaller 打包的可执行文件形式提供，使其能够作为独立的 Windows 二进制文件运行。一旦执行，它会将自身复制到 Windows 启动目录，从而建立持久性，确保每次系统重启后自动启动。为了欺骗受害者，该恶意软件会显示伪造的“致命错误”弹出窗口，提示用户重启计算机，以此掩盖其后台活动。

数据窃取能力

执行完毕后，窃取者会从被入侵的系统中收集各种敏感信息，包括：

• Discord 代币和帐户相关数据
• 来自基于 Chromium 的浏览器和 Firefox 的浏览器数据，例如 Cookie、浏览历史记录、已保存的密码和自动填充条目
• 从受感染设备截取的屏幕截图

除了基本的凭证窃取之外，VVS Stealer 还利用 Discord 注入技术来接管活跃的用户会话。它首先强制终止任何正在运行的 Discord 进程。然后，该恶意软件从远程服务器获取一个混淆的 JavaScript 有效载荷。该脚本利用 Chrome 开发者工具协议 (CDP) 来监控网络流量，从而在 Discord 重新启动后实现会话劫持和实时凭证拦截。

更广泛的安全影响

VVS Stealer 凸显了现代恶意软件开发的一个持续趋势：将 Python 的易用性与高级混淆技术相结合，从而制造出隐蔽且具有强大韧性的威胁。随着攻击者不断改进这些技术，防御者在检测和分析方面面临着日益严峻的挑战，这凸显了行为监控和主动威胁情报的重要性，而不仅仅依赖静态特征码。