VVS Stealer (veya VVS $tealer) adı verilen yeni bir Python tabanlı tehdit, özellikle Discord kullanıcılarının hesaplarını hedef alıyor. Bu kötü amaçlı yazılım, en azından Nisan 2025'ten beri sessizce dolaşıyor, ancak işleyişi yakın zamanda Palo Alto Networks’ün Unit 42 ekibi tarafından açıklandı.
Araştırmacılar, bu kötü amaçlı yazılımın bir PyInstaller paketi olarak geldiğini buldu; bu da demektir ki, ek bir kurulum gerektirmeden hemen hemen her Windows makinesinde çalışmaya hazır.
Bildiğimiz gibi, Discord milyonlarca oyuncunun buluşma noktasıdır ve bu yüzden bu yazılımın hedefi olmuştur. Bu kötü amaçlı yazılımın ana amacı, tokenleri (şifresiz giriş yapmanızı sağlayan dijital anahtarlar) çalmaktır. Hackerlar, bu tokenler aracılığıyla profilinize erişebilir, özel mesajlarınızı okuyabilir ve hatta fatura ve kredi kartı bilgilerinizi çalabilirler.
Nasıl Çalışıyor
Bu kötü amaçlı yazılım, sadece bir şifre çalıcıdan çok daha agresif bir yapıya sahiptir. Öncelikle sahte bir Fatal Error mesajı göstererek sizi yeniden başlatmaya ikna eder ve ardından Discord Injection gerçekleştirerek, aslında Discord dosyalarınızı değiştirir ve kötü amaçlı bir scripti doğrudan uygulama klasörlerinize indirir. Bu, saldırganların trafiğinizi gerçek zamanlı olarak izlemelerine, yedek kodlarınızı veya MFA durumunuzu çalmalarına ve şifrenizi değiştirmeye çalıştığınızda giriş bilgilerinizi ele geçirmelerine olanak tanır.
VVS Stealer, sadece Discord ile sınırlı kalmaz; Chrome, Edge, Brave ve Opera gibi tarayıcıları da hedef alarak kaydedilmiş şifreleri, çerezleri ve otomatik doldurma verilerini çalar. Hatta masaüstünüzün ekran görüntülerini alır. Kötü amaçlı yazılım, çalınan bu verileri USERNAME_vault.zip adında bir dosyada toplar ve bunu webhooks aracılığıyla hackerlara gönderir.
Çalınan verilerin sorunsuz bir şekilde hareket etmesini sağlamak için, kötü amaçlı yazılım tüm internet trafiği için belirli, sabit bir User-Agent dizesi (standart bir Chrome 115 tarayıcısı olarak görünür) kullanır. Tespit edilmekten kaçınmak için, yaratıcılar kodu AES-128-CTR şifrelemesi ile karıştırmak için Pyarmor (sürüm 9.1.4 Pro) kullanır.
Abonelik Gibi Satılıyor
İlginç bir şekilde, bu sadece bir seferlik bir saldırı değil, bir iş modeli gibi yürütülüyor. Telegram'da satılmakta ve en iyi çalıcı olarak pazarlanmaktadır; Palo Alto’nun blog yazısında açıklandığı gibi. Fiyatlar oldukça düşük, haftalık kullanım için yaklaşık 10 €'dan başlayıp, ömür boyu lisans için 199 €'ya kadar çıkıyor.
Araştırmacılar, Deep Code tarafından yapılan incelemelere göre, operasyonun arkasında Fransızca konuşan bir kişinin olduğunu düşünüyorlar. Rly (veya rlyb) ve 93R (Rexko) gibi anahtar operatörleri bile tanımlamışlardır. İlginç bir şekilde, Rly 2015 yılından beri Discord ve GitHub’da aktif, bu da bu saldırganların hedef aldıkları topluluklarda genellikle derin köklere sahip olduğunu gösteriyor.
Bu kötü amaçlı yazılımın versiyonu 31 Ekim 2026'da sona erecek şekilde programlanmış, ancak o zamana kadar hala çok gerçek bir tehlike olmaya devam etmektedir. Bu nedenle, ekranınızda aniden garip bir hata kutusu belirdiğinde, hemen yeniden başlatmaya acele etmeyin. Bu, VVS Stealer'ın kendisini sisteminize yerleştirmeye çalışıyor olabileceği anlamına gelebilir.
(Fotoğraf: Alexander Shatov Unsplash'ta)
