¿Discord te falló? Puede que ahora mismo te estén robando la cuenta y tu Nitro

En la red apareció un detallado estudio técnico del malware VVS Stealer, también conocido como VVS $tealer. Se trata de un ladrón de datos, escrito en Python y orientado principalmente a los usuarios de Discord. Roba tokens, credenciales e información de navegadores, y también puede interceptar sesiones activas. El malware se promocionó activamente a través de Telegram y se vendió al menos desde abril de 2025, y su desarrollo en cierto momento fue bastante activo.

Los especialistas de Palo Alto Networks Unit 42 indican que la característica clave de VVS Stealer es un sistema de ofuscación complejo. El código del malware está protegido con Pyarmor, una herramienta para ofuscar scripts de Python. Formalmente Pyarmor está destinado a la protección legal de la propiedad intelectual, pero en este caso se utiliza para complicar seriamente el análisis y eludir las herramientas de detección basadas en firmas. En combinación con la sencillez de Python para los atacantes, esto convierte a VVS Stealer en una familia de malware eficaz y poco visible.

El propio malware se distribuye como un ensamblado PyInstaller, dentro del cual se oculta el bytecode de Python. Los investigadores lo extrajeron por etapas, restauraron el encabezado correcto del archivo .pyc y descompilaron el código para obtener el origen legible en Python. Una dificultad adicional es el uso del modo BCC en Pyarmor, en el que parte de las funciones de Python se transforman en código C y se compilan en instrucciones de máquina almacenadas en un archivo ELF separado. La relación entre el código Python y esas funciones está cuidadosamente enmascarada.

Tras eliminar todos los niveles de ofuscación quedó claro que VVS Stealer posee un amplio conjunto de capacidades. En primer lugar busca tokens cifrados de Discord en archivos LevelDB, los descifra con los mecanismos del sistema de Windows y luego los utiliza para acceder a la API de Discord. De este modo el malware obtiene información de la cuenta de la víctima, incluyendo correo electrónico, número de teléfono, lista de amigos, servidores, suscripción Nitro, métodos de pago y el estado de la autenticación de dos factores. Todos los datos se envían a los atacantes mediante webhooks de Discord.

Cabe destacar la función de inyección en el cliente de Discord. El malware finaliza los procesos en ejecución de la aplicación, sustituye sus archivos JavaScript e inyecta un script ofuscado que supervisa las acciones del usuario. Puede interceptar el cambio de contraseña, la adición de datos de pago y la visualización de códigos de respaldo, y después transmitir esa información al atacante de forma sigilosa. Tras ello Discord se reinicia y el usuario normalmente no nota la intervención.

Además de Discord, VVS Stealer recopila datos de numerosos navegadores populares, incluidos Chrome, Edge, Firefox, Opera, Brave, Vivaldi y Yandex Browser. Extrae contraseñas, cookies, historial y datos de autocompletar, los empaqueta en un archivo y los envía de la misma forma. Para mantenerse en el sistema, el malware se copia en la carpeta de inicio de Windows, lo que le permite persistir tras el reinicio del sistema e incluso tras la reinstalación de Discord.

Para ocultar su actividad, VVS Stealer muestra al usuario un mensaje falso de error crítico con la sugerencia de reiniciar el equipo. Esto crea la ilusión de una falla del sistema y distrae la atención de las acciones reales del malware. Además, la muestra tiene una fecha de desactivación incorporada y deja de funcionar después de finales de octubre de 2026.

Los investigadores subrayan que VVS Stealer demuestra claramente cómo las herramientas legítimas de protección de código se usan cada vez más para crear malware sigiloso y difícil de analizar. Su aparición es otra señal para los especialistas en seguridad de la necesidad de intensificar la monitorización del robo de credenciales y de la compromisión de cuentas de servicios en línea populares.