يواجه مستخدمو منصة Discord تهديداً متزايداً من برمجية VVS Stealer الخبيثة، وهي أداة تستهدف سرقة بيانات المستخدمين الحساسة، بما في ذلك بيانات الاعتماد والرموز المميزة. وقد تم تسويق هذه البرمجية بنشاط على منصة Telegram، مما ينذر بانتشار واسع النطاق.
تم اكتشاف أن VVS Stealer، وهي برمجية خبيثة مكتوبة بلغة Python، تستهدف بشكل أساسي تضليل المستخدمين وسرقة معلوماتهم. تعمل البرمجية على استخلاص رموز Discord المميزة، والوصول إلى الجلسات النشطة، وسرقة معلومات المتصفحات مثل ملفات تعريف الارتباط وكلمات المرور وسجل التصفح وبيانات الملء التلقائي.
VVS Stealer يهدد بيانات مستخدمي Discord
تشكل هذه البرمجية الخبيثة تهديداً خطيراً نظراً لقدرتها على العمل بخفة وصعوبة اكتشافها. تعتمد VVS Stealer بشكل كبير على تقنيات إخفاء متقدمة، مما يجعلها تحدياً كبيراً لبرامج الأمان التقليدية.
عند تشغيل ملف مصاب، تبدأ البرمجية في جمع نطاق واسع من المعلومات، تشمل رموز Discord المميزة، وبيانات الحساب، وطرق الدفع، ومعرفات المستخدمين، وأسماء المستخدمين، ورسائل البريد الإلكتروني، وأرقام الهواتف، وقوائم الأصدقاء، وعضويات الخوادم. كما تتحقق من تفعيل خاصية المصادقة الثنائية.
آلية سرقة البيانات
يتم إرسال البيانات المسروقة إلى المهاجمين عبر آليات تسمى “Discord webhooks”، وهي قنوات اتصال بسيطة لا تتطلب مصادقة إضافية. هذه الآلية تتيح للمهاجمين الحصول على المعلومات بسرعة وسهولة.
بعد سرقة بيانات Discord الأولية، تقوم البرمجية الخبيثة بقتل أي عمليات Discord قيد التشغيل وحقن حمولة JavaScript ضارة في مجلد تطبيق Discord. يسمح هذا الحقن لـ VVS Stealer بمراقبة حركة مرور الشبكة واعتراض إجراءات المستخدم المهمة.
تستهدف البرمجية أيضاً عدداً من المتصفحات الشائعة، مثل Chrome وFirefox وEdge وBrave وOpera وYandex. تقوم باستخلاص بيانات الملء التلقائي وملفات تعريف الارتباط وسجل التصفح وكلمات المرور المحفوظة من هذه المتصفحات. يتم ضغط كافة بيانات المتصفح المجمعة في ملف ZIP واحد يحمل اسم المستخدم الضحية، ثم يتم إرساله عبر طلبات HTTP POST إلى نقاط نهاية محددة مسبقاً.
آليات الاستمرار والانتشار
للحفاظ على وجودها، تقوم VVS Stealer بنسخ نفسها إلى مجلد بدء تشغيل Windows، مما يضمن تشغيلها مع كل مرة يبدأ فيها الكمبيوتر. هذه الآلية تمكن البرمجية من مواصلة سرقة البيانات حتى لو قام الضحية بإعادة تثبيت Discord أو تغيير كلمات المرور الخاصة به.
التحليل التقني لآلية الإصابة
تم اكتشاف أن العينة التي تم تحليلها من قبل باحثي الأمن تحمل بصمة SHA-256 وهي: c7e6591e5e021daa30f949a6f6e0699ef2935d2d7c06ea006e3b201c52666e07، وتاريخ انتهاء صلاحيتها هو 31 أكتوبر 2026.
تستخدم البرمجية أداة PyInstaller لتجميع شيفرة Python والمكتبات الداعمة فيها لتكوين ملف تنفيذي واحد. تمكن الباحثون من استخراج المكونات الرئيسية باستخدام الأداة المدمجة pyi-archive_viewer.
ولإخفاء عملياتها، تستخدم VVS Stealer تشفير AES-128-CTR مع مفاتيح وقيم محددة. تم استخراج مفتاح التشفير 273b1b1373cf25e054a61e2cb8a947b8 من ملف Pyarmor runtime DLL.
تجميع البيانات وسرقتها بهذه الطريقة المعقدة يمثل تحدياً أمنياً كبيراً يتطلب وعياً مستمراً من المستخدمين باتباع أفضل الممارسات الأمنية.