Investigadores de ciberseguridad han revelado detalles de un nuevo ladrón de información basado en Python llamado VVS Stealer (también conocido como VVS $tealer) que puede recopilar credenciales y tokens de Discord.
La Unidad 42 de Palo Alto Networks informa que el ladrón supuestamente fue vendido en Telegram en abril de 2025.
«Pyarmor ha ofuscado el código de ladrón de VVS», dijeron los investigadores Pranay Kumar Chhaparwal y Lee Wei Yeong. «Esta herramienta se utiliza para ofuscar scripts de Python para frustrar el análisis estático y la detección basada en firmas. Pyarmor se puede utilizar con fines legítimos, así como para crear malware oculto».
Se promociona como el «último robo» en Telegram y está disponible mediante una suscripción semanal de 10 euros (11,69 dólares). También puedes adquirirlos en diferentes rangos de precios. Por 20 euros (23 dólares) al mes, 40 euros (47 dólares) por tres meses, 90 euros (105 dólares) al año o 199 euros (232 dólares) por una licencia perpetua, es uno de los productos más baratos a la venta.
Según un informe publicado por Deep Code a finales de abril de 2025, se cree que el ladrón es obra de un atacante de habla francesa que también participa activamente en grupos de Telegram relacionados con ladrones, como Myth Stealer y Еуes Steаlеr GC.
El malware VVS Stealer protegido por Pyarmor se distribuye como un paquete PyInstaller. Una vez iniciado, el ladrón se agrega a la carpeta de inicio de Windows y establece la persistencia para que se inicie automáticamente después de que se reinicie el sistema.
También muestra una alerta emergente falsa de «error fatal» que indica al usuario que reinicie la computadora para resolver el error y robar una gran cantidad de datos.
Datos de Discord (tokens e información de la cuenta) Datos del navegador web de Chromium y Firefox (cookies, historial, contraseñas, información de autocompletar) Capturas de pantalla
VVS Stealer está diseñado para realizar ataques de inyección de Discord con el fin de secuestrar sesiones activas en dispositivos comprometidos. Para lograr esto, primero cierre la aplicación Discord si ya se está ejecutando. Luego descarga una carga útil de JavaScript ofuscada a través del Protocolo Chrome DevTools (CDP) desde un servidor remoto responsable de monitorear el tráfico de la red.
«Los autores de malware están aprovechando cada vez más sofisticadas técnicas de ofuscación para evadir la detección por herramientas de ciberseguridad, lo que hace que el software malicioso sea difícil de analizar y aplicar ingeniería inversa», afirmó la compañía. «Python es fácil de usar para los autores de malware y esta amenaza utiliza una compleja ofuscación, lo que da como resultado una familia de malware altamente eficaz y sigilosa».
La divulgación fue realizada por Hudson Rock y detalla cómo los atacantes están utilizando ladrones de información para desviar credenciales administrativas de empresas legítimas y aprovechar su infraestructura para distribuir malware a través de campañas estilo ClickFix, creando bucles que se perpetúan a sí mismos.
«Un porcentaje significativo de los dominios que albergan estas campañas son empresas legítimas cuyas credenciales administrativas han sido robadas por los mismos ladrones de información que se distribuyen actualmente, en lugar de infraestructura maliciosa creada por los atacantes», dijo la compañía.
Source link
