TokyoBlackHatNews

gbhackers.com 5分で読了

認証情報窃取のためDiscordユーザーを狙うVVS Stealer

Discordユーザーは、VVS stealerによる新たな脅威に直面しています。このPythonベースのマルウェアキャンペーンは、難読化フレームワークと認証情報窃取機能を組み合わせることで、マルウェア作成者が到達し得る高度さを示しています。

本記事では、VVS stealer(VVS $tealerとも表記)について技術的な分析を提示し、配布者が高度な難読化および検知回避手法を展開して、シグネチャベースの識別や静的解析を複雑化させている点を取り上げます。

このスティーラーは、Pythonスクリプトをリバースエンジニアリングから保護するために設計された難読化ツールPyarmorを悪用し、本来は単純になり得るマルウェアを、解析上の複雑な課題へと変貌させます。

Pyarmorは正当なソフトウェア保護目的にも用いられますが、脅威アクターは従来のサイバーセキュリティ防御を回避するステルス性の高いマルウェアを構築するために、これを武器化するケースが増えています。

この難読化は、セキュリティ研究者が通常、悪意あるコードパターンを特定するために用いる静的解析手法をとりわけ妨げます。

VVS stealerは2025年4月の時点で、Telegramチャンネルを通じて活発な開発と商用配布が始まっており、認証情報の収集機能を求めるサイバー犯罪者に向けて宣伝されていました。

マルウェア開発におけるPythonの扱いやすさと、Pyarmorの強力な難読化が組み合わさることで、非常に効果的な脅威ベクターが生まれ、包括的な解析には高度なデ難読化技術が必要となります。

認証情報の持ち出し(エクスフィルトレーション)機能

このマルウェアは明確にDiscordユーザーを標的とし、認証トークン、認証情報、Discordアプリケーション内に保存されたセッションデータなど、機密性の高いアカウント情報を抽出します。

Electronフレームワークに基づくDiscordアプリケーション内で永続化を確立するためのJSコード。

Image
永続化を実行するために注入されたJSコード。

Discord固有のデータにとどまらず、VVS stealerはWebブラウザーにも対象を広げ、Chrome、Firefox、Opera、Brave、Edge、Yandexなどのアプリケーションから、Cookie、保存されたパスワード、閲覧履歴、自動入力の詳細を収集します。

このスティーラーは、システム起動時に作動する自動インストール機構によって永続化を実現し、ユーザーが感染の修復を試みた後でも継続して動作することを保証します。

運用上のステルス性も優先事項であり、マルウェアは被害者の注意をそらすために偽のエラーメッセージを表示しつつ、同時にスクリーンショットを取得し、事前定義されたWebhookエンドポイントを通じてデータを持ち出します。

特に高度な機能として、コード注入によるDiscordセッションの傍受があります。マルウェアは実行中のDiscordプロセスを終了させ、JavaScriptペイロードをダウンロードし、Discordアプリケーションのコアファイルに悪意あるコードを直接注入します。

この注入により、ネットワークトラフィック、ユーザー操作、認証イベントの永続的な監視が確立され、ユーザーがプラットフォームを利用するのに合わせてリアルタイムで認証情報を取得できるようになります。

注入されたコードは、バックアップコードの表示、パスワード変更、支払い方法の追加など、特定のユーザー操作を監視します。

イベントフックがコールバック関数を起動し、Discordアカウントの詳細、請求情報、Nitroサブスクリプションの状態、多要素認証の構成、関連する支払い方法を収集します。

PyInstallerは、Pythonアプリケーションとその依存関係をパッケージにまとめ、追加モジュールをインストールせずにパッケージ化されたアプリを実行できるようにするツールです。

Image
VVS stealerマルウェアサンプルを解析するためのワークフロー概要。

この包括的なデータ収集は、ユーザーに侵害を気付かせるような目に見える兆候なしに、透過的に行われます。

緩和策

Palo Alto Networksの顧客は、Advanced WildFire、Advanced URL Filtering、Advanced DNS Security、Cortex XDR、XSIAMプラットフォームを通じて保護を受けられます。

このマルウェアサンプルはWin32 API、具体的にはUser32.dllライブラリのMessageBoxW関数を使用して、コンピューターの再起動が必要だとする偽の致命的エラーに関するモーダルメッセージボックスを表示します。

Image
被害者にコンピューターの再起動を指示する偽のメッセージボックス。

これらのセキュリティソリューションは、VVS stealerの行動パターンおよびコードシグネチャを示す脅威を検知・ブロックするよう特別に設計されたマルウェア防止エンジンを採用しています。

侵害が疑われる組織は、フォレンジック分析と復旧(リメディエーション)に関するガイダンスを得るため、直ちにUnit 42のインシデント対応チームへ連絡すべきです。

VVS stealerの分析は、正当な開発ツールが高度な認証情報窃取オペレーションの手段へと変化する、進化する脅威状況を浮き彫りにしています。

防御側は、認証情報の悪用に関する監視を強化し、異常な認証パターンを特定する行動ベースの検知メカニズムを実装し、新たに出現するインフォスティーラー系ファミリーに関する最新の脅威インテリジェンスを維持する必要があります。

扱いやすいプログラミング言語、商用グレードの難読化ツール、確立されたアンダーグラウンド市場が収束することで、認証情報窃取オペレーションが急速にスケールし、従来の検知手法を回避しやすい環境が生まれています。

翻訳元: https://gbhackers.com/vvs-stealer/

ソース: gbhackers.com
#Discord #PyArmor #Telegram闇市場 #VVS Stealer #コードインジェクション #ブラウザ情報窃取 #情報窃取マルウェア #検知回避 #認証トークン窃取 #難読化

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚