VVS Stealerとして知られる高度なPythonベースのマルウェアファミリーが出現し、Discordユーザーにとって重大な脅威となっています。
このスティーラーは2025年4月からTelegram上で積極的に販売されており、侵害されたシステムから機密性の高いアカウント認証情報、認証トークン、ブラウザデータを流出させるよう設計されています。
VVS StealerはPythonで開発され、PyInstallerパッケージとして配布されます。この方法により、脅威アクターは追加のモジュールをインストールすることなく依存関係を同梱できます。
このマルウェアは、高度な難読化ツールであるPyarmorを使用して、静的解析やシグネチャベースの検知からコードを保護します。
この高度な保護は、128ビット鍵によるAES-128-CTR暗号化、ByteCode-to-Compilation(BCC)モード変換、暗号化された文字列定数を活用しており、セキュリティ研究者にとってリバースエンジニアリングを大幅に困難にしています。
サンプルc7e6591e5e021daa30f949a6f6e0699ef2935d2d7c06ea006e3b201c52666e07の解析により、このマルウェアには2026年10月31日の有効期限が組み込まれており、それ以降は自己終了することが判明しています。
このスティーラーは複数の攻撃ベクトルを通じてDiscordを標的にします。LevelDBディレクトリ内の暗号化されたDiscordトークンを検索し、Windows Data Protection API(DPAPI)を用いて復号し、Nitroのサブスクリプション状況、支払い方法、ユーザー名、メールアドレス、電話番号、多要素認証の状態など、機密性の高いアカウント情報を抽出します。
流出させたすべてのデータは、攻撃者が管理するDiscordのWebhookエンドポイントへHTTP POSTリクエストで送信されます。
トークン窃取にとどまらず、VVS StealerはDiscordのElectronアプリケーションフレームワークに難読化されたJavaScriptコードを注入することで、能動的なセッションハイジャックを実行します。
この注入により永続化が確立され、Chrome DevTools Protocolを通じてネットワークトラフィックを監視し、パスワード変更、バックアップコードへのアクセス、支払い方法の変更に関連するユーザー操作を捕捉します。
Windowsのスタートアップディレクトリに自身をコピーすることで永続化を実現し、感染中にユーザーの注意をそらすため偽のエラーメッセージを表示します。
VVS Stealerは、正規の開発ツールが認証情報の窃取に悪用され得ることを示しています。高度な難読化技術と多ベクトルのデータ流出を統合することで、危険な脅威を生み出しています。
翻訳元: https://cyberpress.org/vvs-stealer-discord-credential-token-theft/