Investigadores de ciberseguridad han revelado detalles de un nuevo ladrón de información basado en Python llamado ” ladrón de VVS (también conocido como VVS $tealer), que puede recopilar credenciales y tokens de Discord.
Según un informe de la Unidad 42 de Palo Alto Networks, se decía que el ladrón estaba a la venta en Telegram ya en abril de 2025.
“Pyarmor ofusca el código de ladrón de VVS”, dijeron los investigadores Pranay Kumar Chhaparwal y Lee Wei Yeong. “Esta herramienta se utiliza para ofuscar los scripts de Python para evitar el análisis estático y la detección basada en firmas. Pyarmor se puede utilizar con fines legítimos y también para desarrollar malware sigiloso”.
Promocionado en Telegram como el “ladrón definitivo”, está disponible por 10 euros (11,69 dólares) con una suscripción semanal. También se puede comprar en diferentes niveles de precios: 20 € (23 dólares) por un mes, 40 € (47 dólares) por tres meses, 90 € (105 dólares) por un año y 199 € (232 dólares) por una licencia de por vida, lo que lo convierte en uno de los ladrones más baratos del mercado.
Según un informe publicado por Deep Code a finales de abril de 2025, se cree que el ladrón es obra de un actor de amenazas de habla francesa que también participa activamente en grupos de Telegram relacionados con ladrones, como Myth Stealer y Еуes Steаlér GC.
El malware VVS Stealer protegido por Pyarmor se distribuye como un paquete PyInstaller. Una vez iniciado, el ladrón configura la persistencia agregándose a la carpeta de inicio de Windows para garantizar que se inicie automáticamente después de reiniciar el sistema.
También muestra advertencias emergentes falsas de “Error fatal” que solicitan a los usuarios que reinicien sus computadoras para corregir un error y robar una variedad de datos.
- Datos de Discord (tokens e información de cuenta)
- Datos de los navegadores web Chromium y Firefox (cookies, historial, contraseñas e información de autocompletar)
- Capturas de pantalla
VVS Stealer también está diseñado para realizar ataques de inyección de Discord para secuestrar sesiones activas en el dispositivo comprometido. Para lograr esto, primero cierre la aplicación Discord si ya se está ejecutando. Luego descarga una carga útil de JavaScript ofuscada desde un servidor remoto responsable de monitorear el tráfico de la red a través del Protocolo Chrome DevTools (CDP).
“Los autores de malware utilizan cada vez más técnicas avanzadas de ofuscación para evadir la detección por parte de las herramientas de ciberseguridad, lo que hace que su malware sea más difícil de analizar y realizar ingeniería inversa”, dijo la compañía. “Debido a que Python es fácil de usar para los autores de malware y esta amenaza utiliza una ofuscación sofisticada, el resultado es una familia de malware altamente efectiva y sigilosa”.
La revelación se produjo cuando Hudson Rock detalló cómo los actores de amenazas utilizan ladrones de información para obtener credenciales administrativas de empresas acreditadas y luego usar su infraestructura para difundir el malware a través de campañas estilo ClickFix, creando un bucle que se perpetúa a sí mismo.
“Un porcentaje significativo de los dominios que albergan estas campañas no son infraestructuras maliciosas creadas por atacantes, sino empresas legítimas cuyas credenciales administrativas fueron robadas por los mismos ladrones de información que ahora las están difundiendo”, afirmó la empresa.
About The Author
