Pesquisadores de segurança cibernética divulgaram um novo programa de roubo de informações baseado em Python, chamado VVS Stealer (VVS $stealer), capaz de coletar credenciais e tokens do Discord.
Segundo um relatório da Palo Alto Networks Unit 42, o programa de roubo de software estaria à venda no Telegram desde abril de 2025.
“O código do ladrão de VVS é ofuscado pelo Pyarmor”, afirmaram os pesquisadores Pranay Kumar Chhaparwal e Lee Wei Yeong . “Essa ferramenta é usada para ofuscar scripts Python, dificultando a análise estática e a detecção baseada em assinaturas. O Pyarmor pode ser usado para fins legítimos e também para criar malware furtivo.”
Anunciado no Telegram como o “roubador-copiador definitivo”, está disponível por €10 (US$ 11,69) para uma assinatura semanal ou em diferentes planos!
De acordo com um relatório da Deep Code do final de abril de 2025, o ladrão de dados pode ser obra de um agente de ameaças francófono, que também é ativo em grupos do Telegram relacionados a ladrões de dados, como Myth Stealer e Еуes Stealer GC. O malware VVS Stealer, protegido pelo PyArmor, é distribuído como um pacote PyInstaller. Após ser executado, o ladrão estabelece persistência se adicionando à pasta Inicialização do Windows para garantir que seja iniciado automaticamente após a reinicialização do sistema. Exibe alertas falsos de “Erro Fatal” que instruem os usuários a reiniciar seus computadores para resolver um erro e roubam uma ampla gama de dados – no Discord (tokens e informações da conta), no navegador web Chromium e Firefox (cookies, histórico, senhas e informações de preenchimento automático), mesmo em capturas de tela
O VVS Stealer também foi projetado para realizar ataques de injeção no Discord, sequestrando sessões ativas no dispositivo comprometido. Para isso, ele primeiro encerra o aplicativo Discord, caso esteja em execução. Em seguida, baixa um payload JavaScript ofuscado de um servidor remoto responsável por monitorar o tráfego de rede por meio do Protocolo de Ferramentas de Desenvolvedor do Chrome.
“Como o Python é fácil de usar para os autores de malware, a ofuscação complexa empregada por essa ameaça resulta em uma família de malware altamente eficaz e furtiva. Uma porcentagem significativa dos domínios que hospedam essas campanhas não são infraestruturas maliciosas criadas por atacantes, mas sim empresas legítimas cujas credenciais administrativas foram roubadas pelos mesmos ladrões de informações que agora estão distribuindo”, afirmou a HudsonRock.
