VVS Stealer
VVS Stealer es un malware escrito en Python, activo desde al menos abril de 2025, que se especializa en el robo de cuentas de Discord. Se distribuye empaquetado con PyInstaller, lo que le permite ejecutarse fácilmente en sistemas Windows sin requerir instalaciones adicionales. Su principal objetivo es sustraer tokens de sesión de Discord, credenciales que permiten a los atacantes hacerse con el control completo de la cuenta víctima sin necesidad de contraseña, accediendo así a mensajes privados, información de facturación e incluso métodos de autenticación multifactor (MFA).
El modus operandi del malware es particularmente agresivo y engañoso. Inicia su ataque mostrando un falso mensaje de "Error Fatal" para persuadir al usuario de reiniciar su sistema. Luego, realiza una inyección en la aplicación Discord, modificando sus archivos para descargar un script malicioso que permite el monitoreo en tiempo real, el robo de códigos de respaldo MFA y la interceptación de datos de inicio de sesión. Además de Discord, VVS Stealer roba contraseñas, cookies y datos de autocompletado de navegadores como Chrome, Edge, Brave y Opera, y toma capturas de pantalla, comprimiendo toda la información robada en un archivo que envía a los atacantes mediante webhooks.
Este malware opera como un servicio de suscripción, comercializándose abiertamente en canales de Telegram con precios que van desde aproximadamente 10 euros por una semana de uso hasta 199 euros por una licencia vitalicia. Los investigadores vinculan su desarrollo a individuos francófonos y señalan que los operadores, como "Rly", tienen una larga presencia en comunidades en línea como Discord y GitHub, lo que demuestra un conocimiento profundo del entorno que explotan. Para evadir la detección, los creadores ofuscan el código con Pyarmor, utilizando cifrado AES-128-CTR.