VVS stealerという名で知られるPythonベースのマルウェアファミリーが、高度な難読化とステルス技術を使用してDiscordユーザーをターゲットにし、機密データを抽出していることが観察されています。
VVS $tealerとも表記されるこのマルウェアは、以前はTelegram上で販売が宣伝されており、少なくとも2025年4月から積極的に開発されているようです。
Palo Alto Networksが先週発表した新しいアドバイザリによると、このstealerはPythonで書かれ、PyInstallerパッケージとして配布されており、被害者のシステムで追加の依存関係なしに実行できます。
そのコードはPyarmorを使用して保護されており、Pyarmorは正当なツールですが、静的分析とシグネチャベースの検出を妨げるために悪用される可能性もあります。
マルウェアの動作方法
分析によると、VVS stealerは主にDiscordに関連するデータを収集するために設計されており、同時にWebブラウザに保存されている情報もターゲットにしています。
インストール後、Windows起動フォルダに自身をコピーして永続性を確立し、偽のエラーメッセージを表示することで目立たないようにしようとします。
-
Discordトークンとアカウント情報の盗聴
-
Discordアプリケーションに悪意のあるJavaScriptを注入してアクティブセッションをハイジャック
-
クッキー、パスワード、履歴、自動入力エントリなどのブラウザデータの抽出
Discord関連のマルウェア脅威についてさらに詳しく読む: Discordが第三者の侵害に続くデータ侵害を明かす
難読化、復号化、および流出
Palo Alto Networksは、PyarmorがBCCモードで使用され、Python関数をコンパイルされたCコードに変換して別のELFファイルに保存していることを発見しました。保護されたバイトコードと文字列はAES-128-CTRを使用して暗号化され、キーとnonceは特定のPyarmorライセンスに結び付けられています。
これらのレイヤーを逆行することで、アナリストは元のPythonロジックの大部分を再構築でき、暗号化されたペイロードと文字列がどのように処理されるかを観察することができました。
Discordトークンが復号化されると、マルウェアは複数のDiscord APIエンドポイントをクエリしてアカウント設定、請求情報、友人リストなどのユーザー詳細情報を収集します。このデータはHTTP POSTリクエストを介してDiscord webhookに流出され、これは認証を必要としないメカニズムです。
このstealerはChromiumベースおよびFirefoxブラウザの幅広い範囲をターゲットにし、流出前に盗まれたデータを単一のZIPアーカイブに圧縮します。分析されたマルウェアサンプルは、2026年10月31日以降に機能を停止するように設定されています。
「VVS stealerは、正当な目的に使用できるPyarmorなどのツールがいかに、Discordなどの一般的なプラットフォームの認証情報をハイジャックすることを目的とした隠密なマルウェアを構築するために活用される可能性があるかを示しています」と、Palo Alto Networksは述べました。
「その登場は、認証情報の盗聴とアカウント悪用に関する監視を強化する必要があることを示しています。」
画像クレジット: Sergei Elagin / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/vvs-stealer-advanced-obfuscation/
