VVS-Diebstahl
Cybersicherheitsforscher haben eine neue, auf Python basierende Malware zum Datendiebstahl entdeckt, die den Namen VVS Stealer (auch als VVS $tealer vermarktet) trägt. Diese Schadsoftware ist speziell darauf ausgelegt, Discord-Zugangsdaten und Authentifizierungstoken zu stehlen und reiht sich damit in das wachsende Ökosystem solcher Datendiebstähle ein. Es gibt Hinweise darauf, dass die Malware seit April 2025 auf Telegram zum Verkauf angeboten wird.
Inhaltsverzeichnis
Aggressives Marketing und ungewöhnlich günstige Preise
VVS Stealer, in Telegram-Kanälen als „ultimativer Datendieb“ beworben, positioniert sich als kostengünstige Option für Cyberkriminelle. Es wird in verschiedenen Abonnementstufen angeboten, von einem günstigen Wochenabo bis hin zu einer lebenslangen Lizenz, und ist damit eines der preiswertesten Datenstealer, die derzeit auf Untergrundmärkten erhältlich sind.
Wahrscheinlicher Ursprung und Bedrohungsakteurprofil
Laut Geheimdienstinformationen, die Ende April 2025 veröffentlicht wurden, wird vermutet, dass VVS Stealer von einem französischsprachigen Akteur entwickelt wurde. Die dahinterstehende Person oder Gruppe soll in mehreren Telegram-Gruppen aktiv sein, die mit der Entwicklung und Verbreitung von Stealern in Verbindung stehen, darunter auch Gruppen, die mit Myth Stealer und Eyes Stealer verknüpft sind.
Verschleierung als zentrale Ausweichstrategie
Der Quellcode der Malware ist mithilfe von PyArmor, einem Python-Schutzframework zur Erschwerung statischer Analysen und signaturbasierter Erkennung, stark verschleiert. Obwohl PyArmor legitime kommerzielle Anwendungen hat, wird es zunehmend von Malware-Autoren missbraucht, um schädliche Logik zu verbergen und Reverse-Engineering-Bemühungen zu verzögern.
Verteilung, Ausführung und Persistenz
VVS Stealer wird als mit PyInstaller verpackte ausführbare Datei bereitgestellt und kann somit als eigenständige Windows-Anwendung ausgeführt werden. Nach dem Start nistet es sich ein, indem es sich in den Windows-Autostartordner kopiert und so sicherstellt, dass es nach jedem Systemneustart automatisch startet. Um die Opfer zu täuschen, zeigt die Malware gefälschte „Schwerwiegende Fehler“-Pop-ups an, die die Benutzer zum Neustart ihres Rechners auffordern und so ihre Hintergrundaktivität verschleiern.
Fähigkeiten zum Datendiebstahl
Nach der Ausführung sammelt der Angreifer eine Vielzahl sensibler Informationen aus dem kompromittierten System, darunter:
- Discord-Tokens und kontobezogene Daten
- Browserdaten von Chromium-basierten Browsern und Firefox, wie z. B. Cookies, Browserverlauf, gespeicherte Passwörter und Autofill-Einträge
- Screenshots, die vom infizierten Gerät aufgenommen wurden
- Discord-Injection und Session-Hijacking
Neben dem einfachen Diebstahl von Zugangsdaten nutzt VVS Stealer Discord-Injection-Techniken, um aktive Benutzersitzungen zu übernehmen. Zunächst beendet die Malware alle laufenden Discord-Prozesse. Anschließend lädt sie eine verschleierte JavaScript-Payload von einem Remote-Server herunter. Dieses Skript verwendet das Chrome DevTools Protocol (CDP), um den Netzwerkverkehr zu überwachen und so nach dem Neustart von Discord die Sitzung zu übernehmen und Zugangsdaten in Echtzeit abzufangen.
Weiterreichende Sicherheitsimplikationen
VVS Stealer verdeutlicht einen anhaltenden Trend in der modernen Malware-Entwicklung: die Kombination der Zugänglichkeit von Python mit ausgefeilten Verschleierungsmethoden, um schwer zu fassende und widerstandsfähige Bedrohungen zu schaffen. Da Angreifer diese Techniken immer weiter verfeinern, stehen Verteidiger vor wachsenden Herausforderungen bei der Erkennung und Analyse. Dies unterstreicht die Notwendigkeit von Verhaltensüberwachung und proaktiver Bedrohungsanalyse anstelle der alleinigen Nutzung statischer Signaturen.
