VVS Stealer 的威脅
VVS Stealer 是一種基於 Python 的惡意軟件家族,專門針對 Discord 用戶進行攻擊,提取敏感數據。自 2025 年 4 月以來,該軟件在 Telegram 上開始銷售,並持續活躍開發。
使用的技術
VVS Stealer 以 PyInstaller 包形式分發,允許其在受害者系統上運行而無需額外依賴。其代碼使用 Pyarmor 保護,該合法工具也可被濫用以阻礙靜態分析和基於簽名的檢測。
惡意軟件的運作方式
主要目標
分析顯示,VVS Stealer 主要目標是收集 Discord 相關數據,同時也針對存儲在網頁瀏覽器中的信息。
- 竊取 Discord 令牌和帳戶信息
- 注入惡意 JavaScript 到 Discord 應用程序以劫持活躍會話
- 提取瀏覽器數據,如 cookies、密碼、歷史記錄和自動填充條目
持續性和隱藏
該軟件安裝後,會通過將自身複製到 Windows 啟動文件夾中來建立持續性,並嘗試通過顯示假錯誤信息來保持不被注意。
混淆、解密和數據外流
Palo Alto Networks 發現,Pyarmor 在 BCC 模式下使用,將 Python 函數轉換為存儲在單獨 ELF 文件中的編譯 C 代碼。受保護的字節碼和字符串使用 AES-128-CTR 加密,密鑰和隨機數與特定 Pyarmor 許可證相關聯。
分析人員通過逆向這些層級,重建了大部分原始 Python 邏輯,觀察到加密的有效載荷和字符串是如何處理的。Discord 令牌解密後,惡意軟件查詢多個 Discord API 端點以收集用戶詳細信息,包括帳戶設置、賬單信息和好友列表。這些數據接著通過 HTTP POST 請求外流到 Discord webhooks,一種不需要認證的機制。
此外,該竊取者還針對多種 Chromium 和 Firefox 瀏覽器,將竊取的數據壓縮成一個 ZIP 檔案後再進行外流。分析的惡意軟件樣本設定在 2026 年 10 月 31 日後停止運行。
Palo Alto Networks 指出,「VVS Stealer 展示了如何將像 Pyarmor 這樣可用於合法目的的工具,運用於構建隱蔽的惡意軟件,以劫持如 Discord 這樣流行平台的憑證」。
這表明防禦者需要加強對憑證竊取和帳戶濫用的監控。