Por apenas € 10 (R$ 58) por semana, criminosos podem comprar no Telegram um dos malwares mais sofisticados de 2025. O VVS Stealer, descoberto por pesquisadores da Palo Alto Networks e Deep Code, não é apenas mais um ladrão de senhas — ele representa uma nova geração de ameaças que se alimentam de suas próprias vítimas.
De acordo com relatórios publicados entre abril e janeiro de 2026, o malware rouba credenciais de usuários do Discord e navegadores web. Mas o verdadeiro perigo está no que vem depois: essas senhas roubadas são usadas para invadir sites legítimos, que então hospedam novas campanhas de infecção em um ciclo que se perpetua sozinho.
smart_display
Nossos vídeos em destaque
Dados da Hudson Rock revelam que de 1.635 domínios rastreados hospedando campanhas maliciosas, 220 (13%) pertencem a empresas reais cujas credenciais administrativas foram roubadas — pelos mesmos infostealers que agora distribuem.
Como funciona o VVS Stealer?
Escrito em Python 3.11.5 e distribuído como pacote PyInstaller, o VVS Stealer usa uma ferramenta legítima chamada Pyarmor (versão 9.1.4 Pro) para ofuscar seu código, tornando-o praticamente invisível para antivírus tradicionais.
“O código do VVS Stealer é ofuscado pelo Pyarmor”, explicam os pesquisadores Pranay Kumar Chhaparwal e Lee Wei Yeong, da Palo Alto Networks. “Essa ferramenta pode ser usada para fins legítimos e também para criar malware furtivo.”
A ofuscação do Pyarmor funciona em três camadas:
- Criptografia AES-128-CTR: todo o código Python é criptografado com chaves únicas vinculadas à licença do Pyarmor;
- Modo BCC (ByteCode Compilation): converte funções Python em código C compilado, armazenado em arquivos ELF — impossível de ler com ferramentas tradicionais;
- Strings criptografadas: URLs de comando e controle (C2) e outras informações sensíveis ficam ocultas até a execução.
Segundo análise da VirusTotal, apenas 24 de 72 fornecedores de segurança detectam o malware — uma taxa de detecção de apenas 33%.
Uma vez executado, o malware se copia automaticamente para a pasta Inicialização do Windows (C:\Users\[Username]\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup), garantindo que seja reiniciado automaticamente após cada boot do sistema.
Exibe uma mensagem falsa de “Erro Fatal” usando a API MessageBoxW do Windows, instruindo o usuário a reiniciar o computador “para resolver um erro crítico”. Enquanto isso, o malware trabalha em segundo plano.
O VVS Stealer varre arquivos .ldb e .log no diretório LevelDB do Discord, procurando por tokens criptografados que começam com o prefixo “dQw4w9WgXcQ:”. Usa a API DPAPI (Data Protection API) do Windows para descriptografá-los. Com os tokens em mãos, consulta múltiplos endpoints da API do Discord para coletar:
- Email, telefone e dados pessoais;
- Informações de pagamento e cartões salvos;
- Status de assinatura Nitro;
- Lista de amigos e servidores;
- Endereço IP e metadados do sistema;
Status de autenticação de dois fatores (MFA).
O malware mata o processo do Discord e injeta um arquivo JavaScript ofuscado (injection-obf.js) no diretório da aplicação Electron. E então o script monitora, em tempo real, acções do usuário como visualização de códigos de backup, alterações de senha, adição de métodos de pagamento, ativação e desativação de Autenticação de Múltiplo Fator (MFA).
O JavaScript foi ofuscado usando Obfuscator.io, mas pesquisadores conseguiram decodificá-lo usando a ferramenta Obfuscator.io Deobfuscator. Ele suporta mais de 20 navegadores incluindo os baseados em Chromium como Chrome, Edge, Brave, Opera, Opera GX e Vivaldi, e aqueles em Firefox como o próprio Firefox, o Waterfox e Pale Moon.
A partir desses navegadores, o malware capta senhas salvas, cookies de sessão, histórico de navegação, dados de preenchimento automático e informações de cartões salvos. Depois, todas essas informações são compactadas em um arquivo ZIP nomeado
Os webhooks são uma funcionalidade oficial do Discord que “não exigem um usuário bot ou autenticação para serem usados”, segundo documentação oficial da plataforma.
O malware possui um sistema de expiração integrado — a versão analisada para de funcionar após 31 de outubro de 2026, forçando os compradores a renovarem suas licenças.
Vendido no Telegram desde abril de 2025, o VVS Stealer é comercializado como “o ladrão definitivo” com planos de assinatura baratos, e as possibilidades de pagar em Litecoin (LTC) e PayPal:
- € 10 (R$ 58) — 7 dias;
- € 20 (R$ 117) — 1 mês;
- € 40 (R$ 234) — 3 meses;
- € 90 (R$ 527) — 1 ano;
- € 199 (R$ 1.165) — licença vitalícia.
Por apenas € 10 (R$ 58) por semana, qualquer pessoa pode entrar para o negócio do cibercrime. Basta acessar o Telegram e comprar o VVS Stealer, um dos malwares mais sofisticados de 2025 que representa uma nova geração de ameaças digitais: aquelas que se alimentam de suas próprias vítimas.
Descoberto por pesquisadores da Palo Alto Networks e Deep Code, o VVS não é apenas mais um ladrão de senhas. Ele rouba credenciais de usuários do Discord e navegadores web — mas o verdadeiro perigo está no que vem depois: essas senhas são usadas para invadir sites legítimos, que então hospedam novas campanhas de infecção em um ciclo que se perpetua sozinho.
O ciclo que se alimenta sozinho
Dados da Hudson Rock revelam a dimensão do problema: de 1.635 domínios rastreados hospedando campanhas maliciosas, 220 (13%) pertencem a empresas reais cujas credenciais administrativas foram roubadas — pelos mesmos infostealers que agora distribuem.
O processo funciona assim: o VVS infecta um funcionário, rouba suas credenciais de administrador do site da empresa, criminosos invadem o site legítimo usando essas senhas roubadas, injetam código malicioso no site oficial, e visitantes são infectados com o mesmo VVS Stealer. O ciclo recomeça.
Invisível para a maioria dos antivírus
Escrito em Python 3.11.5 e distribuído como pacote PyInstaller, o VVS usa uma ferramenta legítima chamada Pyarmor (versão 9.1.4 Pro) para ofuscar seu código, tornando-o praticamente invisível.”
O código do VVS Stealer é ofuscado pelo Pyarmor”, explicam os pesquisadores Pranay Kumar Chhaparwal e Lee Wei Yeong, da Palo Alto Networks. “Essa ferramenta pode ser usada para fins legítimos e também para criar malware furtivo.”
A ofuscação funciona em três camadas: criptografia AES-128-CTR de todo o código, conversão de funções Python em código C compilado (impossível de ler com ferramentas tradicionais), e strings criptografadas que ocultam URLs de comando até a execução.
O resultado? Segundo análise da VirusTotal, apenas 24 de 72 fornecedores de segurança detectam o malware, uma taxa de detecção de apenas 33%.
O ataque silencioso
Uma vez executado, o malware se copia automaticamente para a pasta de Inicialização do Windows, garantindo que seja reiniciado após cada boot do sistema. Exibe uma mensagem falsa de “Erro Fatal” instruindo o usuário a reiniciar o computador “para resolver um erro crítico”. Enquanto isso, trabalha em segundo plano.
O VVS varre arquivos do Discord procurando por tokens criptografados e usa a API DPAPI do Windows para descriptografá-los. Com os tokens em mãos, coleta email, telefone, informações de pagamento e cartões salvos, status de assinatura Nitro, lista de amigos e servidores, endereço IP e até status de autenticação de dois fatores.
Depois, o malware mata o processo do Discord e injeta um arquivo JavaScript ofuscado que monitora, em tempo real, ações do usuário como visualização de códigos de backup, alterações de senha, adição de métodos de pagamento e ativação de autenticação multifator.
Mais de 20 navegadores comprometidos
O malware suporta navegadores baseados em Chromium (Chrome, Edge, Brave, Opera, Opera GX, Vivaldi) e Firefox (Firefox, Waterfox, Pale Moon). De todos eles, capta senhas salvas, cookies de sessão, histórico de navegação, dados de preenchimento automático e informações de cartões.
Todas as informações são compactadas em um arquivo ZIP e enviadas via requisições HTTP POST para webhooks do Discord — uma funcionalidade oficial da plataforma que “não exige um usuário bot ou autenticação para ser usada”, segundo documentação oficial.
A técnica ClickFix
Para distribuir o VVS e outros malwares similares, criminosos adotaram o ClickFix, técnica de engenharia social que se tornou padrão da indústria em 2025.
O ClickFix não ataca computadores e sim a confiança humana. Usuários acessam sites (legítimos comprometidos ou falsos) e veem mensagens como “Verifique se você é humano” ou “Seu navegador precisa de atualização”.
Ao clicar, um código malicioso é copiado para a área de transferência. A tela instrui: “Pressione Windows + R, depois Ctrl + V e Enter”. O usuário executa o comando achando que está resolvendo um problema — mas está instalando o malware.
A técnica evoluiu rapidamente. Começou imitando CAPTCHAs do Google, passou a simular erros de navegador e, desde novembro, exibe telas falsas de atualização do Windows em modo fullscreen, indistinguíveis da interface real.
A versão mais sofisticada usa esteganografia: malware escondido dentro de imagens PNG. O arquivo parece uma foto normal, mas contém código malicioso nos dados dos pixels, impossível de detectar com scanners tradicionais.
Quem está por trás
Grupos patrocinados por governos da Coreia do Norte, Irã e Rússia adotaram a técnica desde o final de 2024. Os alvos vão de indivíduos comuns a empresas de tecnologia, bancos, hospitais, universidades e think tanks de pesquisa.
Além do VVS, outros malwares distribuídos pelo ClickFix incluem Lumma, Vidar, Rhadamanthys, DarkGate, Latrodectus e diversos tipos de RATs (Remote Access Trojans).
A dimensão global
Estados Unidos, China, Alemanha, Índia e França lideram as estatísticas de infecção. Campanhas direcionadas atingiram empresas israelenses, alemãs e do setor de pesquisa americano. No Brasil e Portugal, circula o Lampion, variante adaptada para a região.
Segundo o ClickFix Hunter, ferramenta que rastreia a ameaça, há 1.635 sites ativos hospedando o golpe, com crescimento constante desde o início do ano.
Quer saber mais sobre esse assunto? Siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.