Ricercatori di sicurezza informatica hanno divulgato i dettagli di un nuovo malware basato su Python chiamato VVS Stealer, in grado di raccogliere credenziali e token di Discord. Il malware è stato messo in vendita su Telegram già ad aprile 2025, secondo un rapporto di Palo Alto Networks Unit 42. Il codice del malware è protetto da Pyarmor, uno strumento utilizzato per offuscare script Python e rendere difficile l’analisi statica e la rilevazione basata su firme.
Caratteristiche del malware
Il VVS Stealer è stato pubblicizzato come “l’ultimo stealer” e può essere acquistato a diversi livelli di prezzo: 10€ per una subscription settimanale, 20€ per un mese, 40€ per tre mesi, 90€ per un anno e 199€ per una licenza a vita. Il malware può raccogliere dati come credenziali di Discord, informazioni sui browser web, screenshot e altri dati sensibili. Inoltre, il malware può eseguire attacchi di iniezione di Discord per hijackare le sessioni attive sul dispositivo compromesso.
Metodo di diffusione
Il malware viene distribuito come un pacchetto PyInstaller e, una volta lanciato, si installa nel folder di avvio di Windows per assicurarsi di essere avviato automaticamente al riavvio del sistema. I ricercatori ritengono che il malware sia stato creato da un attore minaccioso di lingua francese, che è anche attivo in gruppi di Telegram relativi a stealer. Il VVS Stealer rappresenta un esempio di come i malware possano essere resi più sofisticati e stealthy attraverso l’utilizzo di tecniche di offuscazione avanzate.
