Neue Python-Malware greift gezielt Discord-Konten an : Günstiger Infostealer kombiniert starke Verschleierung mit Discord-Injektionen

Cybersecurity-Experten haben eine neue Infostealer-Malware namens VVS Stealer analysiert, die auf Python basiert und speziell auf Discord-Zugangsdaten und Tokens abzielt. Laut einem Bericht von Palo Alto Networks Unit 42 wird die Malware bereits seit April 2025 über Telegram-Kanäle angeboten und aktiv weiterentwickelt.

Verschleierung als zentrales Merkmal

Ein zentrales technisches Merkmal von VVS Stealer ist die konsequente Verschleierung des Quellcodes. „Der Code von VVS Stealer ist mit Pyarmor obfuskiert“, erklären die Forscher Pranay Kumar Chhaparwal und Lee Wei Yeong. Pyarmor erschwert statische Analysen und signaturbasierte Erkennung erheblich. Zwar werde das Werkzeug auch für legitime Zwecke eingesetzt, es eigne sich jedoch ebenso für den Bau besonders schwer analysierbarer Schadsoftware.

Die Malware wird als PyInstaller-Paket ausgeliefert, wodurch sie als eigenständige Windows-Anwendung erscheint. Nach dem ersten Ausführen sorgt sie dafür, dass sie automatisch bei jedem Systemstart erneut geladen wird, indem sie sich in den Autostart-Ordner von Windows einträgt. Dadurch bleibt die Malware dauerhaft aktiv, auch wenn der Rechner neu gestartet wird.

Günstiges Malware-as-a-Service-Modell

Auf Telegram wird VVS Stealer als „ultimativer Stealer“ beworben und zu ungewöhnlich niedrigen Preisen angeboten. Eine Wochenlizenz kostet zehn Euro, ein Monatszugang 20 Euro, drei Monate 40 Euro, ein Jahreszugang 90 Euro und eine lebenslange Lizenz 190 Euro. Damit gehört VVS Stealer zu den günstigsten kommerziell vertriebenen Infostealern.

Nach Erkenntnissen von DeepCode stammt die Schadsoftware mutmaßlich von einem französischsprachigen Akteur, der auch in einschlägigen Telegram-Gruppen rund um andere Stealer-Familien aktiv ist.

Datendiebstahl und Discord-Injektion

Nach der Installation zeigt VVS Stealer gefälschte Fehlermeldungen an, die Nutzer zu einem Neustart auffordern. Währenddessen werden umfangreiche Daten abgegriffen:

• Discord-Daten, einschließlich Tokens und Kontoinformationen
• Browserdaten aus Chromium- und Firefox-basierten Browsern, darunter Cookies, Verlauf, Passwörter und Autofill-Daten
• Screenshots

Zusätzlich führt die Malware gezielte Discord-Injektionen durch, um aktive Sitzungen zu übernehmen. Dazu beendet sie zunächst den laufenden Discord-Client, lädt anschließend ein verschleiertes JavaScript von einem entfernten Server und überwacht den Netzwerkverkehr über das Chrome DevTools Protocol (CDP).

„Schadsoftware-Autoren setzen zunehmend auf fortgeschrittene Verschleierungstechniken, um Sicherheitslösungen zu umgehen“, heißt es in der Analyse. Die Kombination aus leicht nutzbarer Programmiersprache und komplexer Obfuskation führe zu einer „hochgradig effektiven und schwer erkennbaren Malware-Familie“.

Infostealer als Teil eines größeren Ökosystems

Die Enthüllungen fallen mit weiteren Erkenntnissen von Hudson Rock zusammen. Demnach nutzen Angreifer Infostealer gezielt, um Administrator-Zugangsdaten echter Unternehmen zu stehlen und deren Infrastruktur anschließend selbst für Malware-Verteilung nach dem ClickFix-Muster zu missbrauchen.

„Ein erheblicher Anteil der Domains, die solche Kampagnen hosten, gehört nicht zu klassischer Angreifer-Infrastruktur, sondern zu legitimen Unternehmen, deren Zugangsdaten zuvor gestohlen wurden“, warnt Hudson Rock. Dadurch entstehe ein sich selbst verstärkender Kreislauf, der die Erkennung und Eindämmung solcher Kampagnen weiter erschwert.

VVS Stealer verdeutlicht damit exemplarisch, wie professionell, günstig und effektiv moderne Infostealer inzwischen agieren – und wie stark legitime Plattformen wie Discord in den Fokus cyberkrimineller Geschäftsmodelle geraten sind.