СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 января
#ИБ

Стиллер VVS: механизмы, обфускация и кража токенов Discord

Стиллер VVS, также известный как VVS $tealer, представляет собой сложное вредоносное ПО, ориентированное на кражу конфиденциальных данных пользователей, прежде всего аккаунтов и сессий Discord, а также данных веб‑браузеров. Свежий технический разбор показывает, что авторы malware применили комплексную комбинацию обфускации, шифрования и механизмов закрепления для повышения устойчивости к обнаружению и анализа.

Краткое введение в технологию распространения и упаковки

VVS распространяется как исполняемый пакет, собранный с помощью PyInstaller. При этом вредоносный модуль переупаковывается таким образом, что для его запуска не требуются дополнительные зависимости, что облегчает распространение через обычные каналы — например, фишинговые вложения или троянские загрузчики.

Механизмы обфускации и обхода детектирования

  • Использование Pyarmor. Авторы применяют Pyarmor для обфускации Python‑байт‑кода, что затрудняет статический анализ и автоматическое распознавание. Механизмы Pyarmor изменяют формат байт‑кода и добавляют признаки запутывания в структуру кода.
  • Режим BCC. Вредоносное ПО использует режим BCC (bytecode‑to‑C compilation), который преобразует Python‑функции в C‑функции, усложняя обратную декомпиляцию и чтение логики.
  • Изменения в co_flags. Формат байт‑кода модифицирован так, что запутывание помечается установкой специального бита в поле co_flags, что дополнительно сбивает с толку инструменты анализа.
  • Шифрование полезной нагрузки. Базовый байт‑код зашифрован с использованием AES-128-CTR, при этом ключ шифрования привязан к уникальной лицензии Pyarmor. Это делает расшифровку и извлечение полезной нагрузки практически невозможной без соответствующей среды выполнения и лицензионных данных.
  • Использование Pycdc. Для восстановления исходной логики исследователи применяют декомпилятор Pycdc, который помогает «снять» обфускацию, введённую Pyarmor, и выявить внутренние механизмы вредоноса.

Операционные возможности вредоноса

Анализ поведения показывает, что VVS специализируется на сборе данных, связанных с Discord и браузерами пользователя. Ключевые функции включают:

  • Сканирование и выборка зашифрованных токенов Discord, соответствующих ожидаемому формату.
  • Поиск и сбор файлов, связанных с данными Discord, по расширениям, характерным для этого мессенджера.
  • Попытки внедрения вредоносного JavaScript в запущенные экземпляры Discord — замена основных компонентов собственной полезной нагрузкой для облегчения эксфильтрации.
  • Кража данных веб‑браузеров: VVS ориентирован на несколько популярных браузерных приложений, чтобы обеспечить максимальный охват и собрать сохранённые пароли, cookie и другие чувствительные данные.

Закрепление и маскировка

Для сохранения долговременного доступа VVS копирует себя в каталог автозагрузки Windows, что позволяет запускаться при перезагрузке системы и поддерживать постоянное присутствие на компьютере.

«Базовый байт‑код зашифрован с использованием AES-128-CTR, причем ключ привязан к уникальной лицензии Pyarmor», — одна из ключевых особенностей, затрудняющая извлечение полезной нагрузки вне заражённой среды.

Помимо технических приёмов, вредонос применяет социальную инженерию: он отображает поддельные сообщения об ошибках с использованием Win32 API, чтобы ввести пользователя в заблуждение и скрыть следы своей деятельности. Такие ложные предупреждения помогают снизить подозрительность и удерживают пользователя от немедленных действий по очистке системы.

Последствия для пользователей и компаний

Комбинация целевых атак на Discord‑аккаунты, перехвата сессий и сбора данных браузера делает VVS опасным инструментом для злоумышленников, ориентированных на мошенничество, взлом аккаунтов и дальнейшее распространение. Шифрование полезной нагрузки и привязка к лицензии Pyarmor усложняют анализ и разработку сигнатур, что повышает шансы вредоноса на длительное незаметное присутствие.

Рекомендации (кратко)

  • Не запускать неизвестные исполняемые файлы, особенно полученные вне официальных каналов.
  • Поддерживать актуальность антивирусного ПО и использовать решения с поведенческим анализом.
  • Контролировать автозагрузку и проверять подозрительные записи в каталоге автозагрузки Windows.
  • Включить двухфакторную аутентификацию в сервисах (включая Discord) и сменить пароли при подозрении на компрометацию.

Технический разбор VVS подчёркивает, что злоумышленники активно используют современные средства обфускации и упаковки, чтобы усложнить защиту и анализ. Это очередной пример того, как инструменты, предназначенные для защиты интеллектуальной собственности (как Pyarmor), могут быть переориентированы на уклонение от средств безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: