Um novo malware chamado VVS Stealer está sendo amplamente distribuído em fóruns e canais de mensagens, principalmente no Telegram, com o objetivo de roubar credenciais do Discord, senhas salvas em navegadores e cookies de sessão. Disfarçado de aplicativo legítimo, o malware tem atraído vítimas por meio de arquivos executáveis maliciosos e mensagens de engenharia social. O VVS Stealer foi desenvolvido em Python e empacotado com PyInstaller, o que o torna facilmente distribuível em sistemas Windows.
Seu código é protegido com a ferramenta de ofuscação Pyarmor, dificultando análises por pesquisadores e mecanismos tradicionais de antivírus. Após ser executado, o malware exibe uma mensagem falsa de erro e, em segundo plano, se instala no sistema adicionando-se à pasta de inicialização do Windows. Com isso, garante persistência e se ativa automaticamente sempre que o computador é ligado. Uma das principais funções do VVS Stealer é coletar tokens e dados de conta do Discord, além de realizar injeções no cliente do aplicativo. Ao fechar a instância do Discord, ele executa scripts que permitem capturar sessões ativas e até assumir o controle completo da conta da vítima. O malware também varre navegadores populares como Google Chrome e Mozilla Firefox, coletando senhas, cookies, histórico de navegação e dados de preenchimento automático.
Essas informações são valiosas para cibercriminosos, que podem vendê-las ou usá-las em ataques adicionais. Com uma interface voltada para usuários com pouca experiência técnica, o VVS Stealer é oferecido como malware como serviço, com planos semanais, mensais e vitalícios, com preços acessíveis. Essa prática tem facilitado a disseminação do malware e o aumento no número de ataques. Os operadores do VVS Stealer utilizam servidores remotos para receber os dados roubados em tempo real, e muitos pacotes incluem funções para capturar capturas de tela ou monitorar atividades em segundo plano, tornando o malware ainda mais completo e perigoso. Embora o foco principal sejam usuários individuais, o roubo de credenciais pode afetar também ambientes corporativos, principalmente quando senhas de trabalho são armazenadas em navegadores ou vinculadas a contas do Discord usadas em contextos profissionais.
