Ваш Discord «сломался»? Возможно, прямо сейчас у вас воруют аккаунт и Nitro

В сети появилось подробное техническое исследование вредоносного ПО VVS Stealer, также известного как VVS $tealer. Это похититель данных, написанный на Python и ориентированный в первую очередь на пользователей Discord. Он крадёт токены, учётные данные и информацию из браузеров, а также умеет перехватывать активные сессии. Вредонос активно продвигался через Telegram и продавался как минимум с апреля 2025 года, а его разработка в определённый момент велась достаточно активно.

Специалисты Palo Alto Networks Unit 42 отмечают, что ключевая особенность VVS Stealer— сложная система маскировки. Код вредоноса защищён с помощью Pyarmor, инструмента для обфускации Python-скриптов. Формально Pyarmor предназначен для легальной защиты интеллектуальной собственности, но в данном случае он используется для серьёзного усложнения анализа и обхода сигнатурных средств защиты. В сочетании с простотой Python для злоумышленников это делает VVS Stealer эффективным и малозаметным семейством вредоносного ПО.

Сам вредонос распространяется в виде сборки PyInstaller, внутри которой скрыт Python-байткод. Исследователи поэтапно извлекли его, восстановили корректный заголовок .pyc файла и декомпилировали код, чтобы получить читаемый Python-источник. Дополнительную сложность создаёт использование режима BCC в Pyarmor, при котором часть функций Python преобразуется в C-код и компилируется в машинные инструкции, хранящиеся в отдельном ELF-файле. Связь между Python-кодом и этими функциями тщательно замаскирована.

После снятия всех уровней обфускации стало понятно, что VVS Stealer обладает широким набором возможностей. В первую очередь он ищет зашифрованные токены Discord в файлах LevelDB, расшифровывает их с помощью системных механизмов Windows и затем использует для обращения к API Discord. Таким образом вредонос получает информацию об аккаунте жертвы, включая почту, номер телефона, список друзей, серверы, наличие подписки Nitro, способы оплаты и статус двухфакторной аутентификации. Все данные отправляются злоумышленникам через Discord-вебхуки.

Отдельного внимания заслуживает функция внедрения в клиент Discord. Вредонос завершает работающие процессы приложения, подменяет его JavaScript-файлы и внедряет обфусцированный скрипт, который отслеживает действия пользователя. Он может перехватывать смену пароля, добавление платёжных данных и просмотр резервных кодов, а затем незаметно передавать эту информацию атакующему. После этого Discord перезапускается, и пользователь обычно не замечает вмешательства.

Помимо Discord, VVS Stealer собирает данные из множества популярных браузеров, включая Chrome, Edge, Firefox, Opera, Brave, Vivaldi и Яндекс.Браузер. Он извлекает пароли, cookies, историю и данные автозаполнения, упаковывает их в архив и отправляет тем же способом. Для закрепления в системе вредонос копирует себя в папку автозагрузки Windows, что позволяет ему переживать перезапуск системы и даже переустановку Discord.

Чтобы скрыть свою активность, VVS Stealer показывает пользователю фальшивое сообщение о критической ошибке с предложением перезагрузить компьютер. Это создаёт иллюзию системного сбоя и отвлекает внимание от реальных действий вредоноса. При этом сам образец имеет встроенную дату отключения и прекращает работу после конца октября 2026 года.

Исследователи подчёркивают, что VVS Stealer наглядно показывает, как легитимные инструменты защиты кода всё чаще используются для создания скрытного и трудноанализируемого вредоносного ПО. Его появление — ещё один сигнал для специалистов по безопасности о необходимости усиленного мониторинга кражи учётных данных и компрометации аккаунтов популярных онлайн-сервисов.