У вас «сломался» Discord? Возможно, прямо сейчас пытаются украсть аккаунт и Nitro

Если Discord запущен в момент заражения, вредонос VVS Stealer способен похищать токены, платёжную информацию и сохранённые пароли браузеров, маскируя свою активность под обычный сбой приложения.

Недавно было опубликовано детальное техническое исследование вредоносной программы VVS Stealer (также встречается написание VVS $tealer). Это инфостилер, разработанный на Python и нацеленный прежде всего на пользователей Discord. Он предназначен для кражи токенов авторизации, учётных данных и браузерных данных, а также умеет перехватывать уже активные пользовательские сессии. Распространение этого вредоноса велось через Telegram, а в продаже он находился как минимум с апреля 2025 года, при этом его функциональность активно дорабатывалась.

Аналитики Palo Alto Networks Unit 42 обращают внимание, что одной из главных особенностей VVS Stealer является продвинутая маскировка. Для защиты кода используется Pyarmor — инструмент обфускации Python-приложений, который обычно применяется для защиты интеллектуальной собственности. В данном случае он задействован для усложнения анализа и обхода сигнатурных механизмов антивирусов. В сочетании с доступностью Python это делает вредонос сравнительно простым в разработке, но сложным для обнаружения.

Распространяется VVS Stealer в виде исполняемого файла, собранного с помощью PyInstaller, внутри которого содержится Python-байткод. Исследователи шаг за шагом извлекли его, восстановили корректную структуру .pyc-файлов и декомпилировали их до читаемого исходного кода. Дополнительную защиту создаёт использование режима BCC в Pyarmor: часть Python-функций преобразуется в C-код и компилируется в машинные инструкции, размещённые в отдельном ELF-модуле, а взаимодействие с ними тщательно скрыто.

После удаления всех уровней защиты стало ясно, что возможности VVS Stealer весьма обширны. В первую очередь он сканирует файлы LevelDB в поисках зашифрованных Discord-токенов, расшифровывает их с использованием стандартных механизмов Windows и применяет для обращения к API Discord. Это позволяет получить детальную информацию об аккаунте жертвы — адрес электронной почты, номер телефона, список серверов и друзей, наличие Nitro, подключённые способы оплаты и статус двухфакторной аутентификации. Все собранные данные отправляются атакующим через Discord-вебхуки.

Отдельный модуль вредоноса отвечает за внедрение непосредственно в клиент Discord. Он завершает запущенные процессы приложения, подменяет JavaScript-файлы и добавляет обфусцированный скрипт для слежения за действиями пользователя. С его помощью злоумышленники могут перехватывать смену пароля, добавление платёжных реквизитов и просмотр резервных кодов. После внедрения Discord перезапускается, и пользователь, как правило, не замечает постороннего вмешательства.

Помимо мессенджера, VVS Stealer собирает данные из популярных браузеров, включая Chrome, Edge, Firefox, Opera, Brave, Vivaldi и Яндекс.Браузер. Он извлекает сохранённые пароли, cookies, историю просмотров и данные автозаполнения, архивирует их и передаёт тем же каналом. Для закрепления в системе вредонос копирует себя в каталог автозагрузки Windows, благодаря чему сохраняется даже после перезагрузки компьютера и повторной установки Discord.

Чтобы отвлечь пользователя и скрыть свою активность, программа выводит фальшивое сообщение о критической ошибке с предложением перезапустить систему. Это создаёт впечатление обычного сбоя, тогда как вредонос продолжает выполнять свои задачи. При этом в коде заложен механизм самодеактивации — образец прекращает работу после конца октября 2026 года.

Эксперты отмечают, что VVS Stealer наглядно демонстрирует, как легальные инструменты защиты кода всё чаще используются в вредоносных целях. Его появление служит дополнительным сигналом для специалистов по информационной безопасности о росте угроз, связанных с кражей учётных данных и захватом аккаунтов популярных онлайн-платформ.