Кибербезопасность столкнулась с новой угрозой - вредоносным ПО на Python под названием VVS Stealer (его также пишут как VVS $tealer). Эта программа специально создана для кражи учётных данных и сессионных токенов пользователей Discord, а также другой конфиденциальной информации с заражённых компьютеров.
Что такое VVS Stealer и как он распространяется
VVS Stealer появился в даркнете и продаётся через Telegram с апреля 2025 года. За доступ к нему злоумышленники просят от 10 € за неделю до почти 200 € за пожизненную лицензию, т.е. купить такой "инструмент" может почти любой желающий.
Код вредоноса сильно запутан с помощью Pyarmor, инструмента для обфускации Python-скриптов, который затрудняет анализ и обнаружение угроз обычными средствами защиты. Из-за этого антивирусам сложнее распознавать его как вредонос.
Как работает вредонос
Когда пользователь запускает VVS Stealer, программа сразу старается закрепиться в системе. Она добавляет себя в автозапуск Windows, чтобы запускаться вместе с включением компьютера, и выводит поддельное окно с ошибкой "Fatal Error", убеждая жертву перезагрузить систему, тогда как сама продолжает работу в фоне.
Что именно может украсть VVS Stealer:Discord-данные: токены и информация аккаунта, что позволяет злоумышленнику входить в него без пароля.
Данные браузеров Chromium и Firefox: пароли, история, файлы cookie и автозаполнение.
Скриншоты экрана.
Кроме того, VVS Stealer использует технику внедрения вредоносного JavaScript-кода в приложение Discord, чтобы перехватывать активные сессии пользователей через Chrome DevTools Protocol, что позволяет обойти стандартные защиты и захватывать данные ещё глубже.
Почему это серьёзная угроза
Эксперты отмечают, что использование обычных инструментов для защиты кода в злонамеренных целях делает такие угрозы особенно опасными: их сложнее обнаружить, а значит, они дольше остаются незамеченными на заражённых устройствах.
Ситуация усугубляется тем, что такие украденные учётные данные могут использоваться для дальнейших атак, например, для распространения других вредоносных программ, компрометации бизнес-аккаунтов или организации мошенничьих схем.
Как защититься
Чтобы снизить риск заражения и воздействия таких угроз, специалисты по безопасности рекомендуют:
использовать антивирусы и EDR-решения с поведенческим анализом, которые замечают подозрительную активность, а не только сигнатуры;
избегать запуска непроверенных скриптов и программ из сомнительных источников;
включить двухфакторную аутентификацию (2FA) во всех сервисах, где это возможно;
периодически менять пароли и при необходимости отзывать сессионные токены через настройки аккаунта.
Источник