Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe op Python gebaseerde informatie-diefstal genaamd VVS Stealer (ook wel VVS $tealer genoemd) die in staat is om Discord-referenties en tokens te verzamelen.
Volgens een rapport van Palo Alto Networks Unit 42 zou de dief al in april 2025 te koop zijn geweest op Telegram.
“De code van de VVS-diefstal wordt verduisterd door Pyarmor”, zeggen onderzoekers Pranay Kumar Chhaparwal en Lee Wei Yeong. “Deze tool wordt gebruikt om Python-scripts te verdoezelen om statische analyse en op handtekeningen gebaseerde detectie te belemmeren. Pyarmor kan worden gebruikt voor legitieme doeleinden en ook worden gebruikt om heimelijke malware te bouwen.”
Geadverteerd op Telegram als de ‘ultieme dief’, is het beschikbaar voor € 10 ($ 11,69) voor een wekelijks abonnement. Het kan ook worden gekocht in verschillende prijsniveaus: € 20 ($ 23) voor een maand, € 40 ($ 47) voor drie maanden, € 90 ($ 105) voor een jaar en € 199 ($ 232) voor een levenslange licentie, waardoor het een van de goedkoopste stealers is die te koop zijn.
Volgens een rapport dat eind april 2025 door Deep Code is gepubliceerd, wordt aangenomen dat de dief het werk is van een Franstalige dreigingsacteur, die ook actief is in stealer-gerelateerde Telegram-groepen zoals Myth Stеaler en Еуes Steаlеr GC.
De door Pyarmor beschermde VVS Stealer-malware wordt verspreid als een PyInstaller-pakket. Eenmaal gelanceerd, zorgt de stealer voor persistentie door zichzelf toe te voegen aan de Windows Opstartmap om ervoor te zorgen dat deze automatisch wordt gestart na een herstart van het systeem.
Het toont ook valse “Fatal Error” pop-upwaarschuwingen die gebruikers instrueren hun computers opnieuw op te starten om een fout op te lossen en een breed scala aan gegevens te stelen –
- Discord-gegevens (tokens en accountinformatie)
- Webbrowsergegevens van Chromium en Firefox (cookies, geschiedenis, wachtwoorden en informatie over automatisch aanvullen)
- Schermafbeeldingen
VVS Stealer is ook ontworpen om Discord-injectieaanvallen uit te voeren om actieve sessies op het aangetaste apparaat te kapen. Om dit te bereiken, wordt eerst de Discord-applicatie beëindigd, als deze al actief is. Vervolgens downloadt het een versluierde JavaScript-payload van een externe server die verantwoordelijk is voor het monitoren van netwerkverkeer via het Chrome DevTools Protocol (CDP).
“Malware-auteurs maken steeds meer gebruik van geavanceerde verduisteringstechnieken om detectie door cyberbeveiligingstools te omzeilen, waardoor hun kwaadaardige software moeilijker te analyseren en reverse-engineeren is”, aldus het bedrijf. “Omdat Python gemakkelijk te gebruiken is voor malware-auteurs en de complexe verduistering die door deze dreiging wordt gebruikt, is het resultaat een zeer effectieve en sluipende malwarefamilie.”
De onthulling komt op het moment dat Hudson Rock uitlegt hoe bedreigingsactoren informatiestelers gebruiken om administratieve gegevens van legitieme bedrijven over te hevelen en vervolgens hun infrastructuur gebruiken om de malware te verspreiden via ClickFix-achtige campagnes, waardoor een zichzelf in stand houdende lus ontstaat.
“Een aanzienlijk percentage van de domeinen die deze campagnes hosten, zijn geen kwaadaardige infrastructuur die door aanvallers is opgezet, maar legitieme bedrijven waarvan de beheerdersreferenties zijn gestolen door de infostealers die ze nu verspreiden”, aldus het bedrijf.
