Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias VVS Stealer: nuevo infostealer en Python roba cuentas de Discord

VVS Stealer: nuevo infostealer en Python roba cuentas de Discord

por Dragora

Investigadores en ciberseguridad han revelado los detalles de un nuevo malware de robo de información basado en Python, conocido como VVS Stealer (también promocionado como VVS $tealer), que ya se está utilizando activamente para robar credenciales, tokens de Discord y datos sensibles de navegadores web. El análisis técnico fue publicado por Palo Alto Networks Unit 42, que advierte sobre el creciente uso de ofuscación avanzada para evadir detección y dificultar el análisis forense.

Según el informe, VVS Stealer ha estado a la venta en canales de Telegram desde al menos abril de 2025, lo que confirma una vez más la madurez del ecosistema de malware como servicio (MaaS) y la baja barrera de entrada para actores con conocimientos técnicos limitados.

Pyarmor: la clave del sigilo de VVS Stealer

Uno de los elementos más relevantes de VVS Stealer es el uso de Pyarmor, una herramienta legítima de protección de código Python que permite ofuscar scripts para evitar la ingeniería inversa. Sin embargo, como explican los investigadores Pranay Kumar Chhaparwal y Lee Wei Yeong, esta tecnología también se ha convertido en un recurso habitual para los autores de malware.

“El código del ladrón de VVS está oculto por Pyarmor, lo que dificulta el análisis estático y la detección basada en firmas”, explican los analistas.

Pyarmor complica la visibilidad del flujo lógico del malware y reduce la eficacia de soluciones antivirus tradicionales, lo que convierte a VVS Stealer en una amenaza sigilosa y persistente, especialmente en entornos donde no se utilizan mecanismos de detección conductual.

Un infostealer barato y accesible

VVS Stealer se promociona en Telegram como el “ladrón definitivo” y destaca por su bajo coste, lo que facilita su adopción por actores novatos y grupos de cibercrimen emergentes. Según Unit 42, los precios son los siguientes:

  • 10 € por una suscripción semanal

  • 20 € por un mes

  • 40 € por tres meses

  • 90 € por un año

  • 199 € por una licencia vitalicia

Este modelo de precios convierte a VVS Stealer en uno de los infostealers más económicos del mercado clandestino, ampliando significativamente su superficie de uso y distribución.

Origen del malware y vínculos con otros stealer

Un informe independiente de Deep Code, publicado a finales de abril de 2025, sugiere que VVS Stealer estaría desarrollado por un actor de amenazas francófono, activo en comunidades de Telegram relacionadas con otros ladrones de información como Myth Stealer y Eyes Stealer GC.

Esta interconexión entre proyectos indica la existencia de grupos colaborativos, donde se comparten técnicas, infraestructura y canales de distribución, acelerando la evolución del malware.

Distribución y persistencia en Windows

El malware se distribuye como un paquete PyInstaller, lo que le permite ejecutarse como un archivo independiente en sistemas Windows. Una vez lanzado, VVS Stealer establece persistencia añadiéndose a la carpeta de Inicio de Windows, asegurando su ejecución automática tras cada reinicio del sistema.

Como parte de su engaño, el malware muestra alertas emergentes falsas de “Error Fatal”, instando al usuario a reiniciar el equipo para resolver un supuesto problema crítico. Esta técnica de ingeniería social ayuda a reducir sospechas mientras el malware recopila información en segundo plano.

Datos robados por VVS Stealer

VVS Stealer está diseñado para extraer una amplia gama de información sensible, incluyendo:

  • Tokens y datos de cuentas de Discord, permitiendo el secuestro de sesiones

  • Datos de navegadores Chromium y Firefox, como:

    • Cookies

    • Historial de navegación

    • Contraseñas guardadas

    • Información de autocompletado

  • Capturas de pantalla del sistema comprometido

Este conjunto de datos convierte al malware en una herramienta muy valiosa para fraude, extorsión, suplantación de identidad y acceso inicial a redes corporativas.

Inyección en Discord y secuestro de sesiones

Uno de los módulos más avanzados de VVS Stealer es su capacidad para realizar ataques de inyección en Discord, una técnica cada vez más común entre infostealers modernos.

El proceso funciona de la siguiente manera:

  1. El malware finaliza la aplicación de Discord si está en ejecución

  2. Descarga una carga útil JavaScript ofuscada desde un servidor remoto

  3. Inyecta el script para monitorizar el tráfico de red usando el Chrome DevTools Protocol (CDP)

Gracias a este mecanismo, los atacantes pueden capturar tokens activos, secuestrar sesiones ya autenticadas y mantener el acceso incluso después de que el usuario cambie su contraseña.

Python y la nueva generación de malware sigiloso

Palo Alto Networks advierte que Python se ha convertido en uno de los lenguajes preferidos por los autores de malware, debido a su facilidad de uso, portabilidad y compatibilidad con herramientas de ofuscación avanzadas.

“Los autores de malware están aprovechando técnicas de ofuscación cada vez más sofisticadas para evadir la detección. La combinación de Python y ofuscación compleja da como resultado una familia de malware altamente eficaz”, señala la compañía.

Este enfoque permite a los atacantes desarrollar rápidamente nuevas variantes y adaptarse a las defensas existentes.

Un ecosistema que se retroalimenta: infostealers y ClickFix

La aparición de VVS Stealer coincide con revelaciones de Hudson Rock, que detallan cómo los ladrones de información se utilizan para robar credenciales administrativas de empresas legítimas. Posteriormente, estas credenciales se aprovechan para alojar malware y lanzar campañas de distribución, incluyendo ataques de estilo ClickFix.

Según Hudson Rock:

“Un porcentaje significativo de los dominios que alojan estas campañas no son infraestructuras creadas por atacantes, sino negocios legítimos cuyas credenciales administrativas fueron robadas por los mismos infostealers”.

Este fenómeno crea un bucle autoperpetuante, donde los infostealers no solo roban datos, sino que facilitan nuevas infecciones, ampliando el alcance del cibercrimen a escala global.

Una amenaza en expansión

VVS Stealer representa una evolución clara del malware de robo de información, combinando bajo coste, ofuscación avanzada, targeting a Discord y técnicas modernas de persistencia. Su disponibilidad pública y facilidad de uso lo convierten en una amenaza relevante tanto para usuarios individuales como para organizaciones, especialmente aquellas que dependen de credenciales robadas como vector de acceso inicial.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!