VVS Stealer su Discord: l’infostealer in Python ruba token e password con offuscamento “stealth”

News
Visite: 211

Negli ultimi mesi la minaccia dei malware infostealer è tornata al centro dell’attenzione, soprattutto per chi usa quotidianamente piattaforme come Discord. Tra le novità più rilevanti spicca VVS Stealer, un malware basato su Python progettato per rubare token e credenziali Discord e, allo stesso tempo, sottrarre dati sensibili dai browser. Il punto di forza di questa campagna è l’uso di tecniche di offuscamento avanzate che rendono più difficile l’analisi e la rilevazione tramite firme.

VVS Stealer viene promosso come un prodotto pronto all’uso e distribuito tramite canali di vendita su Telegram, con un modello in abbonamento e licenze a diversi livelli di prezzo. Questo approccio abbassa la barriera di ingresso per i cybercriminali e favorisce la diffusione di attacchi su larga scala. Il codice è protetto con Pyarmor, uno strumento nato per offuscare script Python anche in contesti legittimi, ma spesso sfruttato per rendere il malware più stealth e ostacolare la reverse engineering.

Dal punto di vista tecnico, il malware viene impacchettato come eseguibile tramite PyInstaller. Una volta avviato su Windows, punta a stabilire persistenza aggiungendosi alla cartella di avvio automatico, così da riattivarsi dopo il riavvio del sistema. Per aumentare le probabilità di successo, mostra anche falsi avvisi di errore critico, spingendo l’utente a riavviare o a sottovalutare comportamenti anomali.

Le capacità di furto dati includono token e informazioni account Discord, dati dei browser Chromium e Firefox come cookie, cronologia, password e dati di autofill, oltre alla cattura di screenshot. Un elemento particolarmente insidioso è la funzione di Discord injection, pensata per dirottare sessioni già attive sul dispositivo. In pratica il malware termina l’applicazione Discord se è in esecuzione, poi scarica un payload JavaScript offuscato da un server remoto. Questo componente può monitorare il traffico di rete sfruttando il Chrome DevTools Protocol, ampliando le possibilità di intercettazione e manipolazione.

Il quadro generale conferma un trend: gli attori malevoli combinano linguaggi semplici da usare come Python con offuscamento pesante e tecniche di persistenza, ottenendo infostealer efficaci e difficili da individuare, soprattutto su endpoint poco protetti o con scarsa igiene digitale.

Pin It
, , ,

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. All rights reserved.