يواجه مستخدمو ديسكورد تهديدًا متزايدًا من برنامج VVS ealer الخبيث، وهو برنامج مكتوب بلغة بايثون، يستهدف سرقة المعلومات، بما في ذلك بيانات الاعتماد والرموز المميزة.
تم الترويج لهذا البرنامج الخبيث بنشاط على تيليجرام منذ أبريل 2025، مُظهرًا قدرته على سرقة بيانات ديسكورد، واعتراض الجلسات النشطة عبر حقنه، واستخراج معلومات متصفح الويب مثل ملفات تعريف الارتباط وكلمات المرور وسجل التصفح وبيانات التعبئة التلقائية.
يتم توزيع البرنامج الخبيث كحزمة PyIer، ويستخدم Pyr الإصدار 9.1.4 (Pro) لإخفاء شفرته، مما يُصعّب على أدوات الأمان اكتشافه وتحليله.
أن برنامج VVS ealer الخبيث يُمثل تهديدًا خطيرًا نظرًا لجمعه بين سهولة تطويره باستخدام لغة بايثون وتقنيات التخفي المتقدمة.
ابتكر مطورو البرنامج أداة فعّالة وخفية قادرة على تجاوز العديد من إجراءات الأمان التقليدية.
عندما يُشغّل الضحية الملف المُصاب، يبدأ VVS ealer بجمع رموز Discord، ومعلومات الحساب، وطرق الدفع، ومعرّفات المستخدمين، وأسماء المستخدمين، وعناوين البريد الإلكتروني، وأرقام الهواتف، وقوائم الأصدقاء، وعضويات الخوادم، بل ويتحقق أيضًا من تفعيل المصادقة الثنائية.
يتم إرسال البيانات المسروقة للهجوم من خلال روابط الويب الخاصة بـ Discord، وهي قنوات بسيطة لنشر الرسائل دون الحاجة إلى مصادقة الروبوت.
بعد سرقة بيانات ديسكورد الأولية، يسيطر البرنامج الخبيث على النظام عن طريق إيقاف أي عمليات ديسكورد قيد التشغيل وحقن حمولة جافا سكريبت ضارة في مجلد تطبيق ديسكورد.
يُمكّن هذا الحقن برنامج VVS ealer من مراقبة حركة مرور الشبكة باستخدام بروتوكول أدوات مطوري كروم، واعتراض إجراءات المستخدم المهمة مثل عرض رموز النسخ الاحتياطي، وتغيير كلمات المرور، أو إضافة طرق دفع.
يعتمد الكود المُدخَل على إطار عمل Electron، ويُنشئ روابط أحداث تجمع تلقائيًا معلومات حساب المستخدم ومعلومات الفوترة وترسلها عند حدوث هذه الإجراءات.
يستهدف هذا البرنامج الخبيث أيضًا متصفحات ويب متعددة، منها Chrome وFirefox وEdge وBrave وOpera وYandex.
يستخرج البرنامج من هذه المتصفحات بيانات التعبئة التلقائية، وملفات تعريف الارتباط، وسجل التصفح، وكلمات المرور المحفوظة. تُضغط جميع بيانات المتصفح المُجمّعة في ملف ZIP واحد يحمل اسم مستخدم الضحية، ويُرسل إلى المهاجمين عبر طلبات HTTP POST إلى نقاط نهاية webhook مُحددة مسبقًا.
للحفاظ على الوصول، يقوم برنامج VVS ealer بنسخ نفسه إلى مجلد بدء التشغيل في نظام ويندوز، مما يضمن تشغيله في كل مرة يبدأ فيها تشغيل الكمبيوتر. تسمح آلية الاستمرارية هذه للبرنامج الخبيث بمواصلة سرقة البيانات حتى لو أعاد الضحية تثبيت برنامج ديسكورد أو غيّر كلمات المرور الخاصة به.
التحليل الفني لآلية الإصابة
يحتوي نموذج البرنامج الخبيث الذي حلله على تجزئة SHA-256 c7e6591e5e021daa30f949a6f6e0699ef2935d2d7c06ea006e3b201c52666e07 وينتهي صلاحيته بعد 31 أكتوبر 2026.
يستخدم برنامج السرقة PyInstaller لتجميع كود بايثون والتبعيات في ملف تنفيذي واحد.
الأمن مكونات رئيسية باستخدام أداة pyi-archive_viewer المدمجة، بما في ذلك ملف بايت كود بايثون المسمى vvs، وملف DLL الخاص بوقت تشغيل Pyarmor المسمى pyarmor_runtime.pyd، وتفاصيل التكوين التي تُظهر رقم الترخيص 007444 والطابع الزمني 2025-04-27T11:04:52.523525.
لإخفاء عملياتها، يستخدم برنامج VVS ealer تشفير AES-128-CTR بمفاتيح وقيم محددة.
تم استخراج مفتاح التشفير 273b1b1373cf25e054a61e2cb8a947b8 من مكتبة Pyarmor الديناميكية (DLL) الخاصة بوقت التشغيل، بينما يُعد مفتاح XOR العشوائي 2db99d18a0763ed70bbd6b3c خاصًا بكل حمولة بيانات.
تستخدم جميع طلبات الشبكة سلسلة User-Agent الثابتة التالية: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36.
يبحث البرنامج الخبيث عن رموز Discord المشفرة التي تبدأ بـ dQw4w9WgXcQ: باستخدام التعابير النمطية في ملفات .ldb أو .log الموجودة في دليل LevelDB، ثم يقوم بفك تشفيرها باستخدام واجهة برمجة تطبيقات حماية بيانات Windows.
.png "English"){kind=small}
0 تعليقات