Se añade a la carpeta de inicio de Windows para garantizar su ejecución automática
Los investigadores de ciberseguridad han revelado detalles de un nuevo ladrón de información basado en Python llamado VVS Stealer (también conocido como VVS $tealer) que es capaz de recolectar credenciales y tokens de Discord.
Se dice que el ladrón estuvo a la venta en Telegram desde abril de 2025, según un informe de Palo Alto Networks Unit 42.
"El código del ladrón de VVS está ofuscado por Pyarmor", declararon los investigadores Pranay Kumar Chhaparwal y Lee Wei Yeong. "Esta herramienta se utiliza para ofuscar scripts de Python y dificultar el análisis estático y la detección basada en firmas. Pyarmor puede utilizarse con fines legítimos y también para desarrollar malware oculto".
Anunciado en Telegram como el "robo definitivo", está disponible por 10 € (11,69 $) con una suscripción semanal. También se puede adquirir en diferentes niveles de precio: 20 € (23 $) al mes, 40 € (47 $) al trimestre, 90 € (105 $) al año y 199 € (232 $) con una licencia de por vida, lo que lo convierte en uno de los roba-platos más económicos del mercado.
Según un informe publicado por Deep Code a fines de abril de 2025, se cree que el ladrón es obra de un actor de amenazas francófono, que también está activo en grupos de Telegram relacionados con ladrones, como Myth Stealer y Еyes Stealer GC.
El malware VVS Stealer, protegido por Pyarmor, se distribuye como un paquete PyInstaller. Una vez ejecutado, el ladrón configura la persistencia añadiéndose a la carpeta de inicio de Windows para garantizar su ejecución automática tras reiniciar el sistema.
También muestra falsas alertas emergentes de "Error fatal" que indican a los usuarios que reinicien sus computadoras para resolver un error y robar una amplia gama de datos.
• Datos de Discord (tokens e información de la cuenta)
• Datos del navegador web de Chromium y Firefox (cookies, historial, contraseñas e información de autocompletar)
• Capturas de pantalla
VVS Stealer también está diseñado para realizar ataques de inyección de Discord y así secuestrar sesiones activas en el dispositivo comprometido. Para ello, primero cierra la aplicación Discord si ya está ejecutándose. A continuación, descarga una carga útil de JavaScript ofuscado desde un servidor remoto responsable de supervisar el tráfico de red mediante el protocolo Chrome DevTools (CDP).
Los autores de malware utilizan cada vez más técnicas avanzadas de ofuscación para evadir la detección de las herramientas de ciberseguridad, lo que dificulta el análisis y la ingeniería inversa de su software malicioso, afirmó la compañía. "Dado que Python es fácil de usar para los autores de malware y la compleja ofuscación que utiliza esta amenaza, el resultado es una familia de malware altamente efectiva y sigilosa".
La revelación llega cuando Hudson Rock detalló cómo los actores de amenazas están utilizando ladrones de información para desviar credenciales administrativas de empresas legítimas y luego aprovechar su infraestructura para distribuir el malware a través de campañas de estilo ClickFix, creando un ciclo que se perpetúa a sí mismo.
"Un porcentaje significativo de los dominios que albergan estas campañas no son infraestructuras maliciosas creadas por atacantes, sino empresas legítimas cuyas credenciales administrativas fueron robadas por los mismos ladrones de información que ahora están distribuyendo", dijo la compañía.
