Ваш Discord «сломался»? Возможно, прямо сейчас у вас воруют аккаунт и Nitro
NewsMakerЕсли у вас открыт Discord, VVS Stealer может украсть токены, данные платежей и браузерные пароли, а затем спрятаться за фальшивой ошибкой.
В сети появилось подробное техническое исследование вредоносного ПО VVS Stealer, также известного как VVS $tealer. Это похититель данных , написанный на Python и ориентированный в первую очередь на пользователей Discord. Он крадёт токены, учётные данные и информацию из браузеров, а также умеет перехватывать активные сессии. Вредонос активно продвигался через Telegram и продавался как минимум с апреля 2025 года, а его разработка в определённый момент велась достаточно активно.
Специалисты Palo Alto Networks Unit 42 отмечают , что ключевая особенность VVS Stealer— сложная система маскировки. Код вредоноса защищён с помощью Pyarmor, инструмента для обфускации Python-скриптов. Формально Pyarmor предназначен для легальной защиты интеллектуальной собственности, но в данном случае он используется для серьёзного усложнения анализа и обхода сигнатурных средств защиты. В сочетании с простотой Python для злоумышленников это делает VVS Stealer эффективным и малозаметным семейством вредоносного ПО.
Сам вредонос распространяется в виде сборки PyInstaller , внутри которой скрыт Python-байткод. Исследователи поэтапно извлекли его, восстановили корректный заголовок .pyc файла и декомпилировали код, чтобы получить читаемый Python-источник. Дополнительную сложность создаёт использование режима BCC в Pyarmor, при котором часть функций Python преобразуется в C-код и компилируется в машинные инструкции, хранящиеся в отдельном ELF-файле. Связь между Python-кодом и этими функциями тщательно замаскирована.
После снятия всех уровней обфускации стало понятно, что VVS Stealer обладает широким набором возможностей. В первую очередь он ищет зашифрованные токены Discord в файлах LevelDB, расшифровывает их с помощью системных механизмов Windows и затем использует для обращения к API Discord. Таким образом вредонос получает информацию об аккаунте жертвы, включая почту, номер телефона, список друзей, серверы, наличие подписки Nitro, способы оплаты и статус двухфакторной аутентификации. Все данные отправляются злоумышленникам через Discord-вебхуки.
В сети появилось подробное техническое исследование вредоносного ПО VVS Stealer, также известного как VVS $tealer. Это похититель данных , написанный на Python и ориентированный в первую очередь на пользователей Discord. Он крадёт токены, учётные данные и информацию из браузеров, а также умеет перехватывать активные сессии. Вредонос активно продвигался через Telegram и продавался как минимум с апреля 2025 года, а его разработка в определённый момент велась достаточно активно.
Специалисты Palo Alto Networks Unit 42 отмечают , что ключевая особенность VVS Stealer— сложная система маскировки. Код вредоноса защищён с помощью Pyarmor, инструмента для обфускации Python-скриптов. Формально Pyarmor предназначен для легальной защиты интеллектуальной собственности, но в данном случае он используется для серьёзного усложнения анализа и обхода сигнатурных средств защиты. В сочетании с простотой Python для злоумышленников это делает VVS Stealer эффективным и малозаметным семейством вредоносного ПО.
Сам вредонос распространяется в виде сборки PyInstaller , внутри которой скрыт Python-байткод. Исследователи поэтапно извлекли его, восстановили корректный заголовок .pyc файла и декомпилировали код, чтобы получить читаемый Python-источник. Дополнительную сложность создаёт использование режима BCC в Pyarmor, при котором часть функций Python преобразуется в C-код и компилируется в машинные инструкции, хранящиеся в отдельном ELF-файле. Связь между Python-кодом и этими функциями тщательно замаскирована.
После снятия всех уровней обфускации стало понятно, что VVS Stealer обладает широким набором возможностей. В первую очередь он ищет зашифрованные токены Discord в файлах LevelDB, расшифровывает их с помощью системных механизмов Windows и затем использует для обращения к API Discord. Таким образом вредонос получает информацию об аккаунте жертвы, включая почту, номер телефона, список друзей, серверы, наличие подписки Nitro, способы оплаты и статус двухфакторной аутентификации. Все данные отправляются злоумышленникам через Discord-вебхуки.