Pesquisadores em cibersegurança revelaram detalhes de um novo info stealer baseado em Python, chamado VVS Stealer (também conhecido como VVS $tealer), capaz de capturar credenciais e tokens do Discord.
De acordo com um relatório da Unit 42, da Palo Alto Networks, o malware está à venda no Telegram desde abril de 2025.
Os pesquisadores Pranay Kumar Chhaparwal e Lee Wei Yeong explicam que “o código do VVS Stealer é ofuscado por meio do Pyarmor, uma ferramenta que dificulta a análise estática e a detecção baseada em assinaturas. Embora o Pyarmor tenha usos legítimos, ele também pode ser explorado para construir malwares furtivos.”
Divulgado no Telegram como “o stealer supremo”, o VVS Stealer pode ser adquirido por € 10 (cerca de R$ 60) na assinatura semanal.
Outras opções incluem € 20 (R$ 120) mensal, € 40 (R$ 240) trimestral, € 90 (R$ 540) anual e € 199 (R$ 1.200) para licença vitalícia, tornando-o um dos mais acessíveis do mercado.
Um relatório da Deep Code, publicado no final de abril de 2025, indica que o VVS Stealer provavelmente foi desenvolvido por um ator francófono, ativo em grupos do Telegram ligados a stealers, como Myth Stealer e Eyes Stealer GC.
Distribuído como um pacote PyInstaller protegido pelo Pyarmor, o malware se instala no sistema copiando a si mesmo na pasta de inicialização do Windows para garantir sua execução automática após reinicializações.
Além disso, o VVS Stealer exibe falsos alertas de “Fatal Error”, solicitando que o usuário reinicie o computador para resolver um erro inexistente.
Enquanto isso, ele rouba uma série de dados, incluindo:
- Informações e tokens do Discord
- Dados de navegadores Chromium e Firefox (cookies, histórico, senhas e dados de preenchimento automático)
- Capturas de tela
O malware também realiza ataques de injeção no Discord para sequestrar sessões ativas no dispositivo comprometido.
Para isso, encerra o processo do Discord, caso esteja aberto, e baixa um payload JavaScript ofuscado de um servidor remoto. Esse payload monitora o tráfego de rede por meio do Chrome DevTools Protocol (CDP).
Especialistas alertam que “autores de malware estão cada vez mais usando técnicas avançadas de ofuscação para escapar das ferramentas de detecção, tornando o software malicioso mais difícil de analisar e reverter. Como Python é uma linguagem acessível para criminosos, combinada com a ofuscação aplicada, o resultado é uma família de malwares altamente eficaz e furtiva.”
A revelação ocorre em meio a investigações da Hudson Rock, que identificou uma estratégia em que atacantes usam info stealers para roubar credenciais administrativas de empresas legítimas e, em seguida, utilizam a própria infraestrutura dessas vítimas para distribuir malware em campanhas do tipo ClickFix, criando um ciclo de auto-propagação.
Segundo a Hudson Rock, “uma parte significativa dos domínios usados nessas campanhas não são estruturas maliciosas criadas pelos invasores, mas sim empresas legítimas cujas credenciais administrativas foram roubadas pelos próprios info stealers que agora distribuem.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...