Badacze bezpieczeństwa ujawnili szczegóły dotyczące nowego złośliwego narzędzia typu information stealer o nazwie VVS Stealer (pisane też jako VVS $tealer). To oparte na Pythonie oprogramowanie potrafi wykradać dane powiązane z Discordem — w tym tokeny i informacje o kontach — oraz inne wrażliwe informacje przechowywane na komputerze ofiary.
Zgodnie z raportem Unit 42 z Palo Alto Networks, VVS Stealer był oferowany w sprzedaży na Telegramie już od kwietnia 2025 roku. Autorzy reklamy określali go jako „ultimate stealer”. Twórcy udostępniali subskrypcje w różnych wariantach cenowych: 10 euro (ok. 11,69 USD ≈ 51 zł) za tydzień, 20 euro (ok. 23 USD ≈ 101 zł) za miesiąc, 40 euro (ok. 47 USD ≈ 207 zł) za trzy miesiące, 90 euro (ok. 105 USD ≈ 462 zł) za rok oraz 199 euro (ok. 232 USD ≈ 1 021 zł) za licencję dożywotnią — co czyni tę ofertę jedną z tańszych wśród podobnych narzędzi dostępnych na czarnym rynku.
Analiza kodu wykazała, że VVS Stealer jest mocno zatarasowany technikami utrudniającymi analizę: jego skrypty Python są zabezpieczone przy użyciu Pyarmor, narzędzia służącego do obfuskacji, a cały program dystrybuowany jest jako pakiet przygotowany przez PyInstaller. Pyarmor utrudnia statyczną analizę i wykrywanie oparte na sygnaturach, co pozwala autorom tworzyć „bardziej skryte” wersje złośliwego oprogramowania. Obfuskacja może mieć uzasadnione, legalne zastosowania, ale w tym przypadku jest wykorzystywana do ukrywania działania malware.
Po uruchomieniu na zainfekowanym komputerze malware zapewnia sobie trwałość działania, kopiując elementy do folderu autostartu systemu Windows, co powoduje automatyczne uruchamianie po restarcie. Dodatkowo program wyświetla fałszywe okienka komunikujące „Fatal Error”, zachęcając użytkownika do ponownego uruchomienia komputera — to część socjotechnicznego maskowania, które ma odwrócić uwagę ofiary od rzeczywistej infekcji.
Zakres danych, które VVS Stealer potrafi zebrać, obejmuje:
- dane Discorda (tokeny i informacje o kontach),
- dane z przeglądarek opartych na Chromium oraz z Firefoksa (ciasteczka, historia, hasła i informacje autouzupełniania),
Warto podkreślić, że autorzy VVS Stealer dodali mechanizm pozwalający na przeprowadzanie tzw. ataków typu Discord injection — czyli przejęcia aktywnych sesji Discorda na zainfekowanym urządzeniu. W praktyce malware najpierw zamyka działającą aplikację Discord, a następnie pobiera z zewnętrznego serwera obfuskowany skrypt JavaScript. Ten skrypt wykorzystuje Chrome DevTools Protocol (CDP) do monitorowania ruchu sieciowego przeglądarki i wstrzykiwania złośliwych działań umożliwiających przejęcie sesji.
Specjaliści zwracają uwagę, że coraz częstsze stosowanie zaawansowanej obfuskacji utrudnia wykrywanie i analizę złośliwego oprogramowania. W połączeniu z łatwością, z jaką można pisać złośliwe narzędzia w Pythonie, daje to efekt powstania „skutecznych i trudnych do wykrycia” rodzin malware, zdaniem analityków Unit 42.
Dodatkowe ustalenia pochodzą z publikacji Deep Code z końca kwietnia 2025 roku, według której za VVS Stealerem stoi prawdopodobnie francuskojęzyczny aktor zagrożenia aktywny w grupach Telegram związanych ze sprzedażą stealerów, takich jak Myth Stealer czy Eyes Stealer GC. To wskazuje na to, że narzędzie nie jest jednorazowym produktem, lecz elementem szerszego ekosystemu wymiany i komercjalizacji malware na platformach komunikacyjnych.
W szerszym kontekście analitycy z Hudson Rock opisali rosnący problem, w którym infostealery służą do kradzieży danych administracyjnych firm, a następnie wykorzystywania skradzionych poświadczeń do hostowania i rozsyłania kolejnych kampanii złośliwego oprogramowania — w tym w modelu podobnym do kampanii typu ClickFix. W praktyce oznacza to pętlę „od ofiary do wektora”: wiele domen używanych do dystrybucji złośliwych kampanii nie jest pierwotnie przygotowaną infrastrukturą przestępczą, lecz legalnymi zasobami firm, których dane administracyjne zostały przejęte przez infostealery.
Znajomość metod działania takich narzędzi — od obfuskacji kodu, przez mechanizmy utrwalania się w systemie, po techniki przejmowania sesji — jest kluczowa dla budowania skutecznej obrony. Ochrona powinna obejmować aktualizacje oprogramowania, monitorowanie anomalii w zachowaniu aplikacji, a także edukację użytkowników w zakresie rozpoznawania podejrzanych komunikatów i źródeł oprogramowania.