新型 Python 恶意软件 VVS 窃取器，专盗 Discord 账号凭证

 VVS 窃取器具备多项恶意功能，包括窃取 Discord 平台数据、劫持用户会话、提取浏览器中保存的账号凭证，以及截取用户屏幕画面。它会通过添加开机自启项的方式实现持久化驻留，同时还会弹出伪造的错误提示信息，以此隐蔽自身的恶意行为。

帕洛阿尔托网络公司发布的报告指出：“一旦完成上述各类数据的提取，该恶意软件样本会将所有数据压缩为一个名为<用户名>_vault.zip的压缩包文件，随后通过 HTTP POST 请求，将该文件发送至预先设定的网络钩子端点，这一数据外传流程与 Discord 平台的数据窃取方式十分相似。”

研究人员对一个经 PyInstaller 打包、并通过 Pyarmor 混淆的 VVS 窃取器样本展开了分析。他们提取并还原了原始的 Python 字节码，确认该恶意软件基于 Python 3.11.5 版本开发，并获取了相关的 Pyarmor 混淆信息。通过重构.pyc文件头，研究人员成功反编译了这款恶意软件，还原出其源代码。

研究团队深入分析了 Pyarmor 的文件头信息、AES-128-CTR 加密算法，以及 BCC 编译模式 —— 该模式会将 Python 函数编译为 C 语言代码，并存储在 ELF 格式文件中。借助与 Pyarmor 授权相关的密钥和随机数，研究人员重构了加密的字节码、常量与字符串，最终还原出浏览器密钥提取等核心恶意功能。剥离这些混淆层后，安全人员才得以全面分析该恶意软件的攻击能力。

去除 Pyarmor 混淆保护后，研究人员证实 VVS 窃取器是一款技术成熟的恶意软件，攻击目标明确指向数据窃取与会话劫持。该恶意软件设有时间限制，将于 2026 年 10 月 31 日失效，且其发起的所有 HTTP 网络请求均使用固定的 Chrome 浏览器用户代理。它针对 Discord 平台的攻击流程为：定位并解密被加密的 Discord 令牌，随后调用 Discord 的应用程序编程接口（API），收集大量用户数据，涵盖账号详情、支付信息、多重身份验证状态、IP 地址以及系统元数据等内容。

报告进一步补充道：“该恶意软件样本会首先搜索可能存在的加密 Discord 令牌。这类加密令牌的字符串均以dQw4w9WgXcQ:为前缀。恶意软件会利用正则表达式，基于该前缀生成检索规则，随后在 LevelDB 目录下的.ldb或.log格式文件中检索匹配内容。收集到所有目标信息后，恶意软件会将其转换为 JavaScript 对象表示法（JSON）格式进行数据外传，传输方式同样是通过 HTTP POST 请求发送至预先设定的网络钩子端点，具体包括环境变量%WEBHOOK%所指定的地址，以及程序内置的备用地址。”

Discord 开发者平台的资料显示：“网络钩子是一种便捷的工具，可直接向 Discord 的频道发送消息，无需借助机器人账号或进行身份验证。”

窃取到的数据会通过 Discord 网络钩子向外传输。此外，该恶意软件还会向 Discord 客户端中注入经过混淆处理的 JavaScript 脚本，以此劫持用户的活跃会话、监控用户操作，并维持自身在受感染设备中的持久化存在。不仅如此，VVS 窃取器还会针对多款基于 Chromium 内核及火狐内核的浏览器发起攻击，提取其中保存的密码、Cookie、浏览历史记录与自动填充数据，将这些信息打包为 ZIP 压缩包后，通过相同的网络钩子渠道完成数据外传。

该恶意软件还会调用 Windows 系统的MessageBoxW应用程序编程接口（API）弹出伪造的致命错误提示框，误导用户认为设备需要重启。

报告最后总结：“VVS 窃取器的出现，印证了 Pyarmor 这类本可用于合法用途的工具，也能被不法分子利用来开发隐蔽性极强的恶意软件，以窃取 Discord 等热门平台的用户凭证。这一威胁的出现，警示安全防护人员必须加强对凭证窃取与账号滥用行为的监测力度。”