新たに分析された情報窃取型マルウェア「VVS Stealer」または「VVS $tealer」は、高度なPython難読化手法を悪用して検知メカニズムを回避しています。
2025年4月にTelegram上で初めて確認されたこのマルウェアは、主にDiscordユーザーを標的とし、認証情報、トークン、アカウント情報を抽出して、DiscordのWebhookエンドポイント経由で流出させます。
Palo Alto Networksの Unit 42による最近の分析によると、VVS Stealerは Python で書かれており、 PyArmor によって保護されています。この正規の難読化ツールは、Pythonバイトコードを暗号化・変換することでマルウェア解析を複雑化させます。
ソフトウェア保護を目的として設計されたPyArmorですが、現在では攻撃者によって、静的解析に耐える強固でステルス性の高いマルウェア亜種を生成するために転用されています。
調査されたサンプル(ハッシュ: c7e6591e5e021daa30f949a6f6e0699ef2935d2d7c06ea006e3b201c52666e07)は、難読化されたPythonバイトコードとPyArmorのランタイムライブラリを埋め込んだ PyInstallerパッケージ として配布されていました。
アナリストは欠落しているヘッダーを手作業で復元し、 PyCDC を用いてペイロードを逆コンパイルすることで、リバースエンジニアリングのための人間が読めるコードを回収しました。
VVS Stealerのコードには、PyArmorの AES-128-CTRアルゴリズム で管理される複数の暗号化レイヤーがあり、カスタムnonceは固有のライセンス識別子に紐づけられています。
BCC(ByteCode-to-Compilation)モード の使用により、Python関数がCコードへ変換され、そのまま実行ファイルに直接コンパイルされるため、従来のデコンパイラは効果を発揮しません。
この二重レイヤーのアプローチにより、マルウェアのロジックと埋め込まれた文字列の両方が、自動スキャナーから隠蔽されます。
追加の分析により、復号されたペイロードから、明確な認証情報窃取とシステム永続化の仕組みが確認されました。このマルウェアはブラウザのディレクトリとDiscordのLevelDBフォルダをスキャンしてトークンを収集し、 Windows DPAPI インターフェースを用いてそれらを復号します。
これらのトークンを使用して、さまざまなDiscord APIエンドポイントに問い合わせを行い、メールアドレス、支払い方法、Nitroのサブスクリプション状況などの機微なユーザーデータを取得します。
注入されたスクリプトにより、パスワード変更や課金イベントなどのユーザー操作を監視でき、盗まれたデータを攻撃者が管理するWebhookへ転送します。
Windowsのスタートアップフォルダに自身をコピーすることで永続化を維持し、偽の致命的エラーポップアップで被害者を欺きます。
専門家は、VVS Stealerの広範なPyArmorベースの難読化は、従来の検知を回避するために商用のコード保護ツールを転用するという、マルウェア作者の間で拡大する 傾向 を示していると警告しています。
Palo Altoは、進化する脅威に対抗するため、エンドポイントおよびネットワーク防御を更新し、 Advanced WildFire 、 Cortex XDR 、および強化された URLおよびDNSセキュリティ 機能を活用することを推奨しています。
翻訳元: https://cyberpress.org/vvs-stealer-obfuscation-tool/