Οι χρήστες του Discord αντιμετωπίζουν μια αυξανόμενη απειλή από το VVS Stealer, ένα κακόβουλο λογισμικό κλοπής πληροφοριών που βασίζεται στην Python και στοχεύει ευαίσθητα δεδομένα λογαριασμού, συμπεριλαμβανομένων των διαπιστευτηρίων και των διακριτικών.
Αυτός ο κλέφτης κυκλοφόρησε ενεργά στο Telegram ήδη από τον Απρίλιο του 2025, προωθώντας την ικανότητά του να κλέβει δεδομένα Discord, να υποκλέψει ενεργές περιόδους σύνδεσης μέσω ένεσης και να εξάγει πληροφορίες προγράμματος περιήγησης ιστού, όπως cookie, κωδικούς πρόσβασης, ιστορικό περιήγησης και λεπτομέρειες αυτόματης συμπλήρωσης.
Το κακόβουλο λογισμικό διανέμεται ως πακέτο PyInstaller και χρησιμοποιεί Pyarmor έκδοση 9.1.4 (Pro) για να κρύψει τον κώδικά του, καθιστώντας δυσκολότερο τον εντοπισμό και την ανάλυση των εργαλείων ασφαλείας.
Ερευνητές του Palo Alto Networks διάσημος ότι το VVS Stealer αντιπροσωπεύει μια σοβαρή απειλή επειδή συνδυάζει την ευκολία ανάπτυξης Python με προηγμένες τεχνικές απόκρυψης.
Οι δημιουργοί κακόβουλου λογισμικού έχουν δημιουργήσει ένα αποτελεσματικό και κρυφό εργαλείο που μπορεί να παρακάμψει πολλά παραδοσιακά μέτρα ασφαλείας.
Όταν ένα θύμα εκτελεί το μολυσμένο αρχείο, το VVS Stealer αρχίζει να συλλέγει διακριτικά Discord, πληροφορίες λογαριασμού, μεθόδους πληρωμής, αναγνωριστικά χρήστη, ονόματα χρήστη, διευθύνσεις email, αριθμούς τηλεφώνου, λίστες φίλων, συνδρομές διακομιστή και ακόμη και ελέγχει εάν είναι ενεργοποιημένος ο έλεγχος ταυτότητας δύο παραγόντων.
Τα κλεμμένα δεδομένα αποστέλλονται στους εισβολείς μέσω των webhooks του Discord, τα οποία είναι απλά κανάλια για τη δημοσίευση μηνυμάτων χωρίς να απαιτείται έλεγχος ταυτότητας bot.
..jpeg "Ο κλέφτης VVS επιτίθεται σε χρήστες Discord για να εκμεταλλευτεί διαπιστευτήρια και διακριτικά")
Μετά την κλοπή των αρχικών δεδομένων Discord, το κακόβουλο λογισμικό αναλαμβάνει τον έλεγχο σκοτώνοντας τυχόν εκτελούμενες διεργασίες Discord και εισάγοντας ένα επιβλαβές ωφέλιμο φορτίο JavaScript στον κατάλογο της εφαρμογής Discord.
Αυτή η ένεση επιτρέπει στο VVS Stealer να παρακολουθεί την κυκλοφορία δικτύου χρησιμοποιώντας το Πρωτόκολλο Chrome DevTools και να παρεμποδίζει σημαντικές ενέργειες των χρηστών, όπως η προβολή εφεδρικών κωδικών, η αλλαγή κωδικών πρόσβασης ή η προσθήκη τρόπων πληρωμής.
Ο κώδικας που εισάγεται είναι χτισμένος στο πλαίσιο Electron και δημιουργεί άγκιστρα συμβάντων που συλλέγουν και αποστέλλουν αυτόματα τον λογαριασμό χρήστη και τις πληροφορίες χρέωσης κάθε φορά που πραγματοποιούνται αυτές οι ενέργειες.
Ο κλέφτης στοχεύει επίσης πολλά προγράμματα περιήγησης ιστού, συμπεριλαμβανομένων των Chrome, Firefox, Edge, Brave, Opera και Yandex.
Από αυτά τα προγράμματα περιήγησης, εξάγει δεδομένα αυτόματης συμπλήρωσης, cookie, ιστορικό περιήγησης και αποθηκευμένους κωδικούς πρόσβασης. Όλα τα δεδομένα του προγράμματος περιήγησης που συλλέγονται συμπιέζονται σε ένα ενιαίο αρχείο ZIP με το όνομα χρήστη του θύματος και αποστέλλονται στους εισβολείς μέσω αιτημάτων HTTP POST σε προκαθορισμένα τελικά σημεία webhook.
.webp.jpeg "Ο κλέφτης VVS επιτίθεται σε χρήστες Discord για να εκμεταλλευτεί διαπιστευτήρια και διακριτικά")
Για να διατηρήσει την πρόσβαση, το VVS Stealer αντιγράφει τον εαυτό του στον φάκελο εκκίνησης των Windows, διασφαλίζοντας ότι εκτελείται κάθε φορά που ξεκινά ο υπολογιστής. Αυτός ο μηχανισμός επιμονής επιτρέπει στο κακόβουλο λογισμικό να συνεχίσει να κλέβει δεδομένα ακόμα κι αν το θύμα εγκαταστήσει ξανά το Discord ή αλλάξει τους κωδικούς πρόσβασής του.
Τεχνική Ανάλυση Μηχανισμού Λοιμώξεων
Το δείγμα κακόβουλου λογισμικού που αναλύθηκε από ερευνητές έχει τον κατακερματισμό SHA-256 c7e6591e5e021daa30f949a6f6e0699ef2935d2d7c06ea006e3b201c52666e07 και λήγει μετά τις 31 Οκτωβρίου 2026.
.webp.jpeg "Ο κλέφτης VVS επιτίθεται σε χρήστες Discord για να εκμεταλλευτεί διαπιστευτήρια και διακριτικά")
Ο κλέφτης χρησιμοποιεί το PyInstaller για να ομαδοποιήσει κώδικα Python και εξαρτήσεις σε ένα μόνο εκτελέσιμο αρχείο.
Οι ερευνητές ασφαλείας εξήγαγαν βασικά στοιχεία χρησιμοποιώντας το ενσωματωμένο pyi-archive_viewer βοηθητικό πρόγραμμα, συμπεριλαμβανομένου του αρχείου bytecode Python με το όνομα vvsτο αρχείο DLL χρόνου εκτέλεσης Pyarmor pyarmor_runtime.pydκαι λεπτομέρειες διαμόρφωσης που δείχνουν τον αριθμό άδειας 007444 και τη χρονική σήμανση 2025-04-27T11:04:52.523525.
Για να κρύψει τις λειτουργίες του, το VVS Stealer χρησιμοποιεί κρυπτογράφηση AES-128-CTR με συγκεκριμένα κλειδιά και τιμές.
Το κλειδί κρυπτογράφησης 273b1b1373cf25e054a61e2cb8a947b8 εξήχθη από το DLL χρόνου εκτέλεσης Pyarmor, ενώ το κλειδί XOR nonce 2db99d18a0763ed70bbd6b3c είναι συγκεκριμένη για κάθε ωφέλιμο φορτίο.
.webp.jpeg "Ο κλέφτης VVS επιτίθεται σε χρήστες Discord για να εκμεταλλευτεί διαπιστευτήρια και διακριτικά")
Όλα τα αιτήματα δικτύου χρησιμοποιούν τη σταθερή συμβολοσειρά User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36.
Το κακόβουλο λογισμικό αναζητά κρυπτογραφημένα διακριτικά Discord που ξεκινούν με dQw4w9WgXcQ: χρησιμοποιώντας κανονικές εκφράσεις σε .ldb ή .log αρχεία στον κατάλογο LevelDB και στη συνέχεια τα αποκρυπτογραφεί χρησιμοποιώντας το API προστασίας δεδομένων των Windows.
