كشف خبراء الأمن السيبراني مؤخراً عن تفاصيل برمجية خبيثة جديدة تعتمد على لغة بايثون تُعرف باسم VVS Stealer. هذه الأداة الخطيرة، التي يتم تداولها بنشاط، قادرة على سرقة بيانات الاعتماد والرموز المميزة (Tokens) الخاصة بمستخدمي منصة ديسكورد بشكل سري للغاية.
ما هي قصة برمجية VVS Stealer؟
بحسب التقارير الأمنية التي تابعها فريق تيكبامين، فإن هذه البرمجية الخبيثة كانت معروضة للبيع على منصة تيليجرام منذ شهر أبريل 2025. وتتميز البرمجية باستخدام تقنيات تشفير متقدمة لإخفاء الكود البرمجي الخاص بها.
يعتمد المطورون في هذه البرمجية على أداة "Pyarmor" لتعقيد الكود المكتوب بلغة بايثون، مما يجعل من الصعب جداً على برامج الحماية التقليدية اكتشافها أو تحليلها. ورغم أن Pyarmor هي أداة شرعية لحماية الملكية الفكرية، إلا أن القراصنة استغلوها هنا لبناء برمجيات خبيثة خفية.
كم تبلغ تكلفة شراء هذه البرمجية؟
يتم الترويج لبرمجية VVS Stealer على مجموعات تيليجرام باعتبارها "السارق النهائي"، وتتوفر بخيارات اشتراك متعددة تجعلها في متناول العديد من المهاجمين السيبرانيين بأسعار منخفضة نسبياً:
- اشتراك أسبوعي: 10 يورو (حوالي 11.69 دولار).
- اشتراك شهري: 20 يورو (حوالي 23 دولار).
- اشتراك لمدة 3 أشهر: 40 يورو (حوالي 47 دولار).
- اشتراك سنوي: 90 يورو (حوالي 105 دولار).
- رخصة مدى الحياة: 199 يورو (حوالي 232 دولار).
وتشير التحليلات التقنية إلى أن مطور هذه البرمجية يُعتقد أنه يتحدث الفرنسية، وهو نشط في مجموعات تيليجرام المتخصصة في البرمجيات الخبيثة.
كيف تخدع البرمجية المستخدمين؟
تنتشر برمجية VVS Stealer المحمية كحزمة تنفيذية (PyInstaller). وبمجرد تشغيلها على جهاز الضحية، تقوم بتثبيت نفسها لضمان العمل التلقائي مع كل إعادة تشغيل للنظام عبر مجلد بدء التشغيل في ويندوز.
تستخدم البرمجية حيلة ماكرة لخداع المستخدم، حيث تقوم بعرض نوافذ منبثقة مزيفة تحمل رسالة "خطأ فادح" (Fatal Error)، وتطلب من المستخدم إعادة تشغيل الجهاز لحل المشكلة، بينما تقوم في الخلفية بجمع البيانات الحساسة.
آلية الهجوم على تطبيق ديسكورد
صُممت هذه البرمجية خصيصاً لتنفيذ هجمات حقن التعليمات البرمجية في تطبيق ديسكورد للسيطرة على الجلسات النشطة. وتتم العملية عبر الخطوات التالية:
- إنهاء عملية تطبيق ديسكورد إذا كان قيد التشغيل بالفعل.
- تحميل كود جافا سكريبت مشفر من خادم بعيد.
- مراقبة حركة الشبكة وسرقة البيانات باستخدام بروتوكول أدوات مطوري كروم (CDP).
ويحذر الخبراء من أن استخدام لغة بايثون السهلة مع تقنيات التعتيم المعقدة يجعل من هذه العائلة البرمجية تهديداً فعالاً وخفياً للغاية، مما يستدعي الحذر وعدم تحميل ملفات من مصادر غير موثوقة خاصة عبر روابط الدردشة.
