Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một mã độc đánh cắp thông tin (information stealer) dựa trên Python mới có tên VVS Stealer (còn được gọi là VVS $tealer) có khả năng thu thập thông tin đăng nhập và token Discord.
Mã độc này được cho là đã được rao bán trên Telegram từ tháng 4 năm 2025, theo báo cáo từ Palo Alto Networks Unit 42.
Các nhà nghiên cứu Pranay Kumar Chhaparwal và Lee Wei Yeong cho biết: "Mã của VVS stealer được xáo trộn bằng Pyarmor. Công cụ này được sử dụng để xáo trộn các script Python nhằm cản trở phân tích tĩnh và phát hiện dựa trên chữ ký. Pyarmor có thể được sử dụng cho các mục đích hợp pháp và cũng có thể được tận dụng để tạo ra các loại malware lén lút."
Được quảng cáo trên Telegram là "kẻ đánh cắp tối thượng" (ultimate stealer), VVS Stealer có giá 10 Euro (11,69 USD) cho gói đăng ký hàng tuần. Nó cũng có thể được mua với các mức giá khác nhau: 20 Euro (23 USD) cho một tháng, 40 Euro (47 USD) cho ba tháng, 90 Euro (105 USD) cho một năm và 199 Euro (232 USD) cho giấy phép trọn đời, khiến nó trở thành một trong những công cụ stealer rẻ nhất trên thị trường.
Theo một báo cáo được Deep Code công bố vào cuối tháng 4 năm 2025, mã độc này được cho là tác phẩm của một threat actor nói tiếng Pháp, người này cũng hoạt động trong các nhóm Telegram liên quan đến stealer như Myth Stеaler và Еуes Steаlеr GC.
Mã độc VVS Stealer được bảo vệ bởi Pyarmor được phân phối dưới dạng gói PyInstaller. Sau khi khởi chạy, mã độc này thiết lập persistence bằng cách tự thêm mình vào thư mục Windows Startup để đảm bảo rằng nó sẽ tự động khởi chạy sau khi hệ thống khởi động lại.
Nó cũng hiển thị các cảnh báo pop-up "Fatal Error" giả mạo, hướng dẫn người dùng khởi động lại máy tính để khắc phục lỗi và đánh cắp nhiều loại dữ liệu khác nhau -
- Dữ liệu Discord (token và thông tin tài khoản)
- Dữ liệu trình duyệt web từ Chromium và Firefox (cookies, lịch sử, mật khẩu và thông tin tự động điền)
- Ảnh chụp màn hình (Screenshots)
VVS Stealer cũng được thiết kế để thực hiện các cuộc tấn công Discord injection nhằm chiếm quyền điều khiển các phiên hoạt động trên thiết bị bị xâm nhập. Để đạt được điều này, nó sẽ chấm dứt ứng dụng Discord nếu nó đang chạy. Sau đó, nó tải xuống một payload JavaScript bị xáo trộn từ một máy chủ từ xa, chịu trách nhiệm giám sát lưu lượng mạng thông qua Chrome DevTools Protocol (CDP).
"Các tác giả malware ngày càng tận dụng các kỹ thuật xáo trộn nâng cao để né tránh sự phát hiện của các công cụ an ninh mạng, khiến phần mềm độc hại của họ khó phân tích và reverse-engineer hơn," công ty cho biết. "Vì Python dễ sử dụng cho các tác giả malware và kỹ thuật xáo trộn phức tạp được mối đe dọa này sử dụng, kết quả là một họ malware có hiệu quả cao và lén lút."
Thông tin tiết lộ này được đưa ra khi Hudson Rock trình bày chi tiết cách các threat actor đang sử dụng information stealer để lấy cắp thông tin đăng nhập quản trị từ các doanh nghiệp hợp pháp và sau đó tận dụng hạ tầng của họ để phân phối mã độc thông qua các chiến dịch kiểu ClickFix, tạo ra một vòng lặp tự duy trì.
Công ty cho biết: "Một tỷ lệ đáng kể các domain lưu trữ các chiến dịch này không phải là hạ tầng độc hại do kẻ tấn công thiết lập, mà là các doanh nghiệp hợp pháp có thông tin đăng nhập quản trị bị đánh cắp bởi chính các infostealer mà chúng đang phân phối."
