VVS竊取者

網路安全研究人員發現了一種名為 VVS Stealer（也以 VVS $tealer 的名稱銷售）的新型基於 Python 的資訊竊取惡意軟體。該威脅專門用於竊取 Discord 憑證和身份驗證令牌，使其成為日益壯大的商品竊取惡意軟體生態系統中的另一個新成員。有證據表明，該惡意軟體自 2025 年 4 月起就在 Telegram 上進行銷售。

激進的營銷策略和異常低廉的價格

VVS Stealer在Telegram頻道中被宣傳為“終極竊取工具”，定位為網路犯罪分子的廉價選擇。它提供多種訂閱方案，從低價的周計劃到終身授權，使其成為目前地下市場上最經濟實惠的竊取工具之一。

可能的來源和威脅行為者概況

根據2025年4月下旬公佈的情報，VVS Stealer據信是由一位講法語的威脅行為者開發的。據報道，該惡意軟體背後的個人或組織活躍於多個與惡意軟體開發和傳播相關的Telegram社群，其中包括與Myth Stealer和Eyes Stealer相關的社區。

混淆作為一種核心規避策略

該惡意軟體的源代碼使用 PyArmor 進行了高度混淆。 PyArmor 是一個 Python 安全框架，旨在增加靜態分析和基於特徵碼的偵測難度。雖然 PyArmor 有合法的商業用途，但它正日益被惡意軟體作者濫用，用於隱藏惡意邏輯並延緩逆向工程。

分發、執行和持久化

VVS Stealer 以 PyInstaller 打包的可執行檔形式提供，使其能夠作為獨立的 Windows 二進位檔案運作。一旦執行，它會將自身複製到 Windows 啟動目錄，從而建立持久性，確保每次系統重新啟動後自動啟動。為了欺騙受害者，該惡意軟體會顯示偽造的「致命錯誤」彈出窗口，提示使用者重啟計算機，以此掩蓋其後台活動。

資料竊取能力

執行完畢後，竊取者會從被入侵的系統中收集各種敏感資訊，包括：

• Discord 代幣和帳戶相關數據
• 來自基於 Chromium 的瀏覽器和 Firefox 的瀏覽器數據，例如 Cookie、瀏覽記錄、已儲存的密碼和自動填入條目
• 從受感染裝置截取的螢幕截圖

除了基本的憑證竊取之外，VVS Stealer 還利用 Discord 注入技術來接管活躍的使用者會話。它首先強制終止任何正在執行的 Discord 進程。然後，該惡意軟體從遠端伺服器取得一個混淆的 JavaScript 有效載荷。該腳本利用 Chrome 開發者工具協定 (CDP) 來監控網路流量，從而在 Discord 重新啟動後實現會話劫持和即時憑證攔截。

更廣泛的安全影響

VVS Stealer 凸顯了現代惡意軟體開發的一個持續趨勢：將 Python 的易用性與高階混淆技術相結合，從而製造出隱藏且具有強大韌性的威脅。隨著攻擊者不斷改進這些技術，防禦者在偵測和分析方面面臨日益嚴峻的挑戰，凸顯了行為監控和主動威脅情報的重要性，而不僅僅依賴靜態特徵碼。