VVSスティーラー
サイバーセキュリティ研究者らは、VVS Stealer(VVS $tealerとしても販売されている)と名付けられたPythonベースの新たな情報窃取マルウェアを発見しました。この脅威は、Discordの認証情報と認証トークンを収集するように特別に設計されており、拡大を続けるコモディティスティーラーのエコシステムへの新たな参入者として注目されています。証拠によると、このマルウェアは2025年4月からTelegramで販売されているようです。
目次
積極的なマーケティングと異常に安い価格設定
Telegramチャンネルで「究極のスティーラー」として宣伝されているVVS Stealerは、サイバー犯罪者にとって安価な選択肢として位置付けられています。低価格の週単位プランから永久ライセンスまで、複数のサブスクリプションプランが用意されており、現在アンダーグラウンド市場で入手可能な最も手頃な価格のスティーラーの一つとなっています。
考えられる起源と脅威アクターのプロフィール
2025年4月下旬に公開された情報によると、VVS Stealerはフランス語圏の脅威アクターによって開発されたと考えられています。その背後にいる個人またはグループは、Myth StealerやEyes Stealerに関連するグループを含む、スティーラーの開発と配布に関連する複数のTelegramコミュニティで活動していると報告されています。
コアな回避戦略としての難読化
このマルウェアのソースコードは、静的解析とシグネチャベースの検出を困難にするために設計されたPython保護フレームワークであるPyArmorを使用して高度に難読化されています。PyArmorは正当な商用利用も可能ですが、マルウェア作成者によって悪意のあるロジックを隠蔽し、リバースエンジニアリングを遅らせるために悪用されることが増えています。
配布、実行、永続性
VVS StealerはPyInstallerでパッケージ化された実行ファイルとして配信され、スタンドアロンのWindowsバイナリとして実行できます。実行されると、Windowsのスタートアップディレクトリに自身をコピーすることで永続性を確立し、システムの再起動ごとに自動的に起動するようにします。被害者を欺くため、このマルウェアは偽の「致命的なエラー」ポップアップを表示し、ユーザーにマシンの再起動を促し、バックグラウンドでの活動を隠蔽します。
データ盗難能力
実行後、窃盗犯は侵害されたシステムから次のような幅広い機密情報を収集します。
- Discordトークンとアカウント関連データ
- Chromium ベースのブラウザと Firefox からのブラウザデータ(Cookie、閲覧履歴、保存されたパスワード、自動入力エントリなど)
- 感染したデバイスからキャプチャされたスクリーンショット
VVS Stealerは、基本的な認証情報の窃取に加え、Discordインジェクション技術を組み込んでアクティブなユーザーセッションを乗っ取ります。まず、実行中のDiscordプロセスを強制的に終了させます。次に、マルウェアはリモートサーバーから難読化されたJavaScriptペイロードを取得します。このスクリプトはChrome DevToolsプロトコル(CDP)を利用してネットワークトラフィックを監視し、Discordが再起動された際にセッションハイジャックとリアルタイムの認証情報の傍受を可能にします。
より広範な安全保障への影響
VVS Stealerは、現代のマルウェア開発における継続的なトレンドを浮き彫りにしています。それは、Pythonのアクセシビリティと高度な難読化を組み合わせることで、ステルス性と回復力に優れた脅威を生み出すというものです。攻撃者がこれらの手法を洗練させるにつれ、防御側は検知と分析においてますます困難に直面しており、静的なシグネチャだけに頼るのではなく、行動監視とプロアクティブな脅威インテリジェンスの必要性が浮き彫りになっています。
