Ladrón de VVS

Investigadores de ciberseguridad han descubierto un nuevo malware basado en Python que roba información, denominado VVS Stealer (también comercializado como VVS $tealer). Esta amenaza está diseñada específicamente para recopilar credenciales de Discord y tokens de autenticación, lo que la convierte en una nueva incorporación al creciente ecosistema de ladrones de productos básicos. La evidencia sugiere que el malware se ha anunciado en Telegram desde abril de 2025.

Marketing agresivo y precios inusualmente bajos

Promocionado en los canales de Telegram como el "ladrón definitivo", VVS Stealer se posiciona como una opción económica para los ciberdelincuentes. Se ofrece con múltiples niveles de suscripción, desde un plan semanal económico hasta una licencia de por vida, lo que lo convierte en uno de los ladrones más asequibles disponibles actualmente en los mercados clandestinos.

Origen probable y perfil del actor amenazante

Según información de inteligencia publicada a finales de abril de 2025, se cree que VVS Stealer fue desarrollado por un actor de amenazas francófono. Se dice que el individuo o grupo responsable participa activamente en varias comunidades de Telegram asociadas con el desarrollo y la distribución de ladrones, incluyendo grupos vinculados a Myth Stealer y Eyes Stealer.

La ofuscación como estrategia central de evasión

El código fuente del malware está altamente ofuscado mediante PyArmor, un framework de protección de Python diseñado para simplificar el análisis estático y la detección basada en firmas. Si bien PyArmor tiene usos comerciales legítimos, los autores de malware lo utilizan cada vez más para ocultar lógica maliciosa y retrasar las tareas de ingeniería inversa.

Distribución, ejecución y persistencia

VVS Stealer se entrega como un ejecutable empaquetado en PyInstaller, lo que le permite ejecutarse como un binario independiente de Windows. Una vez ejecutado, establece persistencia copiándose en el directorio de inicio de Windows, lo que garantiza su inicio automático tras cada reinicio del sistema. Para engañar a las víctimas, el malware muestra ventanas emergentes falsas de "Error fatal" que instan a los usuarios a reiniciar sus equipos, ocultando así su actividad en segundo plano.

Capacidades de robo de datos

Después de la ejecución, el ladrón recopila una amplia gama de información confidencial del sistema comprometido, que incluye:

• Tokens de Discord y datos relacionados con la cuenta
• Datos del navegador de navegadores basados en Chromium y Firefox, como cookies, historial de navegación, contraseñas guardadas y entradas de autocompletar
• Capturas de pantalla tomadas del dispositivo infectado
• Inyección de Discord y secuestro de sesiones

Además del robo de credenciales, VVS Stealer incorpora técnicas de inyección de Discord para controlar las sesiones de usuario activas. Primero, cierra forzosamente cualquier proceso de Discord en ejecución. A continuación, el malware recupera una carga útil de JavaScript ofuscada de un servidor remoto. Este script aprovecha el Protocolo de Herramientas de Desarrollo de Chrome (CDP) para monitorizar el tráfico de red, lo que permite el secuestro de sesiones y la interceptación de credenciales en tiempo real al reiniciar Discord.

Implicaciones de seguridad más amplias

VVS Stealer destaca una tendencia continua en el desarrollo de malware moderno: la combinación de la accesibilidad de Python con la ofuscación avanzada para crear amenazas sigilosas y resistentes. A medida que los atacantes perfeccionan estas técnicas, los defensores se enfrentan a desafíos cada vez mayores en la detección y el análisis, lo que subraya la necesidad de la monitorización del comportamiento y la inteligencia proactiva de amenazas, en lugar de depender únicamente de firmas estáticas.