(https://i.postimg.cc/6Q1SXPjp/malware.gif) (https://postimages.org/)
Investigadores de Palo Alto Networks descubrieron VVS Stealer, un malware basado en Python que roba credenciales y tokens de Discord y que se ha estado vendiendo en Telegram desde al menos abril de 2025.
VVS Stealer utiliza el ofuscador de código fuente Pyarmor para ofuscar su código Python, lo que dificulta su análisis y detección. Los investigadores desofuscaron muestras para analizar el código malicioso.
Comercializado en Telegram como el "ladrón definitivo"( "ultimate stealer"), el malware se vende mediante suscripciones o licencias, con precios que van desde 10 € por semana hasta 199 € por acceso de por vida.
(https://i0.wp.com/securityaffairs.com/wp-content/uploads/2026/01/image-7.png?fit=1536%2C1274&ssl=1)
VVS Stealer puede robar datos de Discord, secuestrar sesiones, extraer credenciales del navegador y capturar capturas de pantalla. Mantiene su persistencia mediante la instalación al inicio del sistema, operando de forma sigilosa mediante mensajes de error falsos.
"Una vez extraídos estos datos, la muestra de malware los prepara para su exfiltración comprimiéndolos en un único archivo ZIP llamado <USERNAME>_vault.zip. Luego, exfiltra este archivo mediante solicitudes HTTP POST a los puntos finales de webhook predefinidos, de forma similar al proceso de exfiltración de datos de Discord", indica el informe publicado por Palo Alto Networks.
Los investigadores analizaron una muestra de VVS Stealer empaquetada con PyInstaller y ofuscada con Pyarmor. Extrajeron y restauraron el código de bytes de Python original, identificaron los detalles de Python 3.11.5 y Pyarmor, y reconstruyeron el encabezado .pyc para descompilar con éxito el malware y recuperar su código fuente.
Los investigadores analizaron los encabezados de Pyarmor, el cifrado AES-128-CTR y el modo BCC, que compila funciones de Python en código C almacenado en archivos ELF. Al reconstruir el código de bytes cifrado, las constantes y las cadenas utilizando claves y nonces vinculados a la licencia de Pyarmor, recuperaron funciones principales como la extracción de claves del navegador. Desactivar estas capas permitió un análisis completo de las capacidades del malware.
Tras eliminar la ofuscación de Pyarmor, los investigadores revelaron que VVS Stealer es un malware sofisticado centrado en el robo de datos y el secuestro de sesiones. El malware tiene una duración limitada, expirando después del 31 de octubre de 2026, y utiliza un agente de usuario de Chrome fijo para todo el tráfico HTTP. Ataca a Discord localizando y descifrando tokens cifrados, y luego consulta las API de Discord para recopilar datos de usuario extensos, incluidos detalles de la cuenta, información de facturación, estado de la autenticación multifactor, dirección IP y metadatos del sistema.
"La muestra de malware busca primero posibles tokens de Discord cifrados. Los tokens de Discord cifrados son cadenas que comienzan con el prefijo dQw4w9WgXcQ:. La muestra de malware utiliza expresiones regulares para crear un patrón a partir de este prefijo de cadena. Luego, utiliza este patrón para buscar dentro del contenido de los archivos con las extensiones .ldb o .log, almacenados en el directorio LevelDB", continúa el informe. "Después de recopilar toda esta información, la muestra de malware procede a exfiltrarla en formato JSON (JavaScript Object Notation). La exfiltración se realiza mediante solicitudes HTTP POST a los puntos finales de webhook predefinidos (variable de entorno %WEBHOOK% y URL de respaldo codificadas)".
Los webhooks son "una forma sencilla de publicar mensajes en canales de Discord. No requieren un bot ni autenticación para su uso" (Fuente: Portal para desarrolladores de Discord).
Los datos recopilados se filtran a través de webhooks de Discord. El malware también inyecta código JavaScript ofuscado en el cliente de Discord para secuestrar sesiones activas, monitorizar las acciones del usuario y mantener la persistencia. Además, VVS Stealer ataca numerosos navegadores basados en Chromium y Firefox, extrayendo contraseñas, cookies, historial de navegación y datos de autocompletado, empaquetándolos en archivos ZIP para su filtración a través de los mismos canales de webhook.
El malware muestra un mensaje de error grave falso utilizando la API MessageBoxW de Windows para engañar a los usuarios y hacerles creer que es necesario reiniciar el sistema.
"VVS Stealer demuestra cómo herramientas como Pyarmor, que pueden utilizarse con fines legítimos, también pueden emplearse para crear malware sigiloso cuyo objetivo es robar credenciales de plataformas populares como Discord. Su aparición pone de manifiesto la necesidad de que los responsables de la seguridad refuercen la monitorización del robo de credenciales y el abuso de cuentas", concluye el informe.
Fuente:
SecurityAffairs
https://securityaffairs.com/186542/malware/vvs-stealer-a-new-python-malware-steals-discord-credentials.html