Siber güvenlik araştırmacıları, Python tabanlı yeni bir bilgi hırsızının ayrıntılarını açıkladı. Tesisat Hırsızı (aynı zamanda VVS $tealer olarak da tasarlanmıştır) Discord kimlik bilgilerini ve jetonlarını toplayabilmektedir.
Palo Alto Networks Unit 42’den gelen bir rapora göre hırsızın Telegram’da Nisan 2025’ten itibaren satışa çıktığı söyleniyor.
Araştırmacılar Pranay Kumar Chhaparwal ve Lee Wei Yeong, “VVS hırsızının kodu Pyarmor tarafından gizlendi” dedi. “Bu araç, statik analiz ve imza tabanlı algılamayı engellemek amacıyla Python komut dosyalarını gizlemek için kullanılıyor. Pyarmor meşru amaçlarla kullanılabilir ve ayrıca gizli kötü amaçlı yazılım oluşturmak için de kullanılabilir.”
Telegram’da “en iyi hırsız” olarak tanıtılan bu uygulamanın haftalık aboneliği 10 € (11,69 $) fiyatla mevcut. Aynı zamanda farklı fiyatlandırma kademeleriyle de satın alınabiliyor: Aylık 20€ (23$), üç aylık 40€ (47$), yıllık 90€ (105$) ve ömür boyu lisans için 199€ (232$), bu da onu satılık en ucuz hırsızlardan biri yapıyor.
Deep Code tarafından Nisan 2025’in sonlarında yayınlanan bir rapora göre hırsızın, Myth Stealer ve Еуes Steаlеr GC gibi hırsızlarla ilgili Telegram gruplarında da aktif olan, Fransızca konuşan bir tehdit aktörünün işi olduğuna inanılıyor.
Pyarmor korumalı VVS Stealer kötü amaçlı yazılımı, PyInstaller paketi olarak dağıtılır. Çalıcı, başlatıldıktan sonra sistemin yeniden başlatılmasının ardından otomatik olarak başlatılmasını sağlamak için kendisini Windows Başlangıç klasörüne ekleyerek kalıcılığı ayarlar.
Ayrıca, kullanıcılara bir hatayı çözmek ve çok çeşitli verileri çalmak için bilgisayarlarını yeniden başlatmaları talimatını veren sahte “Önemli Hata” açılır uyarıları da görüntüler.
- Anlaşmazlık verileri (jetonlar ve hesap bilgileri)
- Chromium ve Firefox’tan alınan web tarayıcı verileri (çerezler, geçmiş, şifreler ve otomatik doldurma bilgileri)
- Ekran görüntüleri
VVS Stealer ayrıca güvenliği ihlal edilmiş cihazdaki aktif oturumları ele geçirmek amacıyla Discord enjeksiyon saldırıları gerçekleştirmek üzere tasarlanmıştır. Bunu başarmak için öncelikle Discord uygulaması zaten çalışıyorsa sonlandırılır. Ardından, Chrome DevTools Protokolü (CDP) aracılığıyla ağ trafiğini izlemekten sorumlu olan uzak bir sunucudan gizlenmiş bir JavaScript verisi indirir.
Şirket, “Kötü amaçlı yazılım yazarları, siber güvenlik araçları tarafından tespit edilmekten kaçınmak için gelişmiş gizleme tekniklerinden giderek daha fazla yararlanıyor, bu da kötü amaçlı yazılımlarının analiz edilmesini ve tersine mühendislik yapılmasını zorlaştırıyor” dedi. “Python’un kötü amaçlı yazılım yazarları için kullanımı kolay olduğundan ve bu tehdidin kullandığı karmaşık gizleme nedeniyle, sonuç oldukça etkili ve gizli bir kötü amaçlı yazılım ailesidir.”
Açıklama, Hudson Rock’ın, tehdit aktörlerinin yasal işletmelerden idari kimlik bilgilerini almak ve ardından kötü amaçlı yazılımı ClickFix tarzı kampanyalar aracılığıyla dağıtmak için altyapılarından yararlanarak kendi kendini sürdüren bir döngü oluşturmak için bilgi hırsızlarını nasıl kullandıklarını ayrıntılarıyla anlatmasıyla geldi.
Şirket, “Bu kampanyaları barındıran alan adlarının önemli bir yüzdesi, saldırganlar tarafından kurulan kötü amaçlı altyapılar değil, idari kimlik bilgileri şu anda dağıttıkları bilgi hırsızları tarafından çalınan meşru işletmelerdir” dedi.