VVS Stealer(またはVVS $tealer)と呼ばれる新しいPythonベースの脅威が出現し、Discordユーザーのアカウントを狙って奪取することを目的としている。この悪意あるソフトウェアは少なくとも2025年4月以降、ひそかに流通していたが、その内部の仕組みは最近、Palo Alto NetworksのUnit 42のセキュリティ専門家によって明らかにされた。
研究者によると、このマルウェアはPyInstallerパッケージとして配布されており、つまり追加のセットアップを必要とせず、ほぼあらゆるWindowsマシンでそのまま実行できる状態になっている。
ご存じのとおり、Discordは数百万人のゲーマーにとって定番の拠点であり、それこそが格好の標的となる理由だ。このマルウェアの主な目的は、トークン(パスワードなしでログイン状態を維持するデジタルキー)を奪い取ることで、ハッカーはそれを使ってあなたのプロフィールにアクセスし、プライベートメッセージを読み取り、さらには請求情報やクレジットカード情報まで盗み出すことができる。
動作の仕組み
参考までに、このマルウェアは単なるパスワード窃取型よりもはるかに攻撃的だ。まず偽の「致命的なエラー(Fatal Error)」メッセージを表示して再起動を促し、Discord Injectionを実行する。これは実際にDiscordのファイルを改変し、悪意あるスクリプトをアプリのフォルダへ直接ダウンロードする手口である。これにより攻撃者は通信をリアルタイムで監視し、バックアップコードやMFAの状態を盗み取ったり、パスワード変更を試みた際のログイン情報を横取りしたりできる。
VVS StealerはDiscordだけにとどまらず、Chrome、Edge、Brave、Operaなどのブラウザも標的にし、保存されたパスワード、Cookie、自動入力データを盗み出す。さらにデスクトップのスクリーンショットまで撮影する。マルウェアはその後、盗んだデータをUSERNAME_vault.zipというファイルにまとめ、Webhookを使ってハッカーへ送信する。
盗難データの送信を滞りなく行うため、このマルウェアはインターネット通信のすべてで特定の固定User-Agent文字列(標準的なChrome 115ブラウザとして表示される)を使用する。検知を回避するため、作成者はPyarmor(バージョン9.1.4 Pro)を用い、AES-128-CTR暗号化でコードを難読化している。
サブスクリプションのように販売
興味深いことに、これは一度きりの攻撃ではなく、ビジネスとして運用されている。Palo Altoのブログ投稿によれば、Telegram上で「究極のスティーラー」として売り込まれて販売されている。価格は驚くほど安く、1週間の利用で約€10から、生涯ライセンスで€199までとなっている。
なお、Deep Codeの研究者は、フランス語話者の人物がこの運用の背後にいると見ている。彼らはRly(またはrlyb)や93R(Rexko)といった主要オペレーターまで特定している。興味深いことに、Rlyは2015年以降DiscordとGitHubで活動しており、こうした攻撃者は最終的に標的にするコミュニティに深く根を張っていることが多い。
このマルウェアのバージョンは2026年10月31日に期限切れとなるようプログラムされているが、それまでは非常に現実的な脅威であり続ける。したがって、画面に突然おかしなエラーボックスが表示されても、慌てて再起動を押さないことだ。それはVVS Stealerがあなたのシステムにしっかりと根付こうとしているサインかもしれない。
(写真:UnsplashのAlexander Shatov)
翻訳元: https://hackread.com/vvs-stealer-malwar-discord-system-errors/
