Pernah kepikiran nggak kalau keamanan data digital kalian bisa dijebol sama tools seharga jajan bakso? Baru-baru ini, peneliti keamanan siber nemuin ancaman baru bernama VVS Stealer. Malware ini lagi ramai diperjualbelikan di Telegram dan bahayanya nggak main-main, terutama buat kalian pengguna Discord. Yuk, simak detailnya biar nggak jadi korban.
Dunia keamanan siber kembali dikejutkan dengan kehadiran VVS Stealer (sering juga ditulis sebagai VVS $tealer), sebuah pencuri informasi berbasis Python yang baru saja diungkap detailnya oleh para peneliti. Berdasarkan laporan dari Unit 42 Palo Alto Networks, stealer ini sebenarnya sudah mulai dijual di Telegram sejak bulan April 2025 lalu. Yang ngebikin malware ini cukup meresahkan adalah kemampuannya yang spesifik untuk memanen kredensial dan token Discord, yang mana hal ini sering kali jadi celah fatal bagi banyak pengguna.
Salah satu hal teknis yang menarik perhatian peneliti, Pranay Kumar Chhaparwal dan Lee Wei Yeong, adalah kode VVS Stealer ini diobfuskasi menggunakan Pyarmor. Buat kalian yang belum tahu, Pyarmor ini adalah alat yang digunakan untuk mengacak atau menyamarkan skrip Python. Tujuannya jelas, yaitu untuk ngebuat analisis statis dan deteksi berbasis tanda tangan (signature-based) jadi jauh lebih sulit dilakukan oleh antivirus. Sebenarnya Pyarmor ini alat yang sah untuk melindungi kekayaan intelektual developer, tapi sayangnya, alat ini disalahgunakan untuk ngebangun malware yang stealthy alias susah dideteksi.
Di pasar gelap Telegram, malware ini dipromosikan sebagai “ultimate stealer” dengan harga yang rasanya terlalu murah untuk kerusakan yang bisa ditimbulkannya. Bayangkan saja, mereka menawarkan harga langganan mingguan cuma €10 atau sekitar 11.69. Harga yang sangat terjangkau ini ngebuat VVS Stealer menjadi salah satu malware termurah yang beredar, dan ini bahaya karena bisa diakses oleh penjahat siber pemula sekalipun.
Berdasarkan laporan lain yang diterbitkan oleh Deep Code pada akhir April 2025, dalang di balik malware ini diyakini adalah aktor ancaman yang berbahasa Prancis. Orang ini juga aktif di grup-grup Telegram lain yang berkaitan dengan stealer, seperti Myth Stealer dan Eyes Stealer GC. Jadi, sepertinya ekosistem jual beli malware ini memang sangat terhubung satu sama lain.
Secara teknis, VVS Stealer yang dilindungi Pyarmor ini didistribusikan sebagai paket PyInstaller. Begitu dijalankan di komputer korban, stealer ini bakal langsung ngasih perintah untuk menetapkan persistensi. Caranya adalah dengan menambahkan dirinya sendiri ke folder Windows Startup. Efeknya apa? Malware ini bakal otomatis jalan setiap kali sistem kalian di-reboot atau dinyalakan ulang. Nggak cuma itu, malware ini juga cukup licik dengan menampilkan peringatan pop-up palsu bertuliskan “Fatal Error”. Pesan ini ngomong ke pengguna untuk me-restart komputer mereka demi memperbaiki kesalahan, padahal itu cuma trik supaya malware bisa berjalan mulus.
Setelah aktif, VVS Stealer bakal mulai mencuri berbagai data sensitif kalian, mulai dari data browser web kayak Chromium dan Firefox (termasuk cookies, riwayat, kata sandi, dan informasi isi otomatis), hingga tangkapan layar atau screenshot. Tapi yang paling krusial adalah data Discord. Malware ini dirancang untuk melakukan serangan injeksi Discord guna membajak sesi aktif di perangkat yang sudah disusupi.
Berikut adalah langkah-langkah teknis bagaimana VVS Stealer melakukan injeksi ke Discord kalian:
- Menghentikan Proses Aplikasi: Langkah pertama yang dilakukan malware ini adalah mengecek apakah aplikasi Discord sedang berjalan. Jika iya, malware akan langsung mematikan proses tersebut secara paksa. Ini dilakukan agar malware bisa memodifikasi file inti saat aplikasi dimulai ulang.
- Mengunduh Payload: Setelah aplikasi mati, VVS Stealer akan mengunduh payload JavaScript yang sudah diobfuskasi dari server jarak jauh. Payload inilah senjata utamanya.
- Memantau Lalu Lintas Jaringan: Payload tersebut bertanggung jawab untuk memantau lalu lintas jaringan kalian. Ia menggunakan Chrome DevTools Protocol (CDP) untuk mengintip data yang keluar masuk.
- Pencurian Token: Saat kalian membuka kembali Discord dan login, skrip jahat tadi akan menangkap token otentikasi kalian dan mengirimkannya ke pelaku.
Tren penggunaan Python oleh pembuat malware ini memang makin meningkat. Seperti yang dibilang oleh perusahaan keamanan tersebut, penulis malware makin sering memanfaatkan teknik obfuskasi tingkat lanjut untuk menghindari deteksi alat keamanan siber. Karena Python itu mudah digunakan dan ditambah dengan obfuskasi yang kompleks, hasilnya adalah keluarga malware yang sangat efektif dan sulit dilacak. Ini ngebikin pekerjaan tim keamanan IT di kantor-kantor jadi makin berat.
Selain itu, pengungkapan ini juga datang bersamaan dengan detail dari Hudson Rock tentang bagaimana aktor ancaman menggunakan info stealers untuk menyedot kredensial administratif dari bisnis yang sah. Mereka kemudian memanfaatkan infrastruktur bisnis tersebut untuk mendistribusikan malware melalui kampanye gaya ClickFix. Jadi, banyak domain yang nge-hosting kampanye jahat ini sebenarnya bukan infrastruktur milik penjahat, tapi milik bisnis sah yang kredensial adminnya sudah dicuri oleh infostealers yang sekarang mereka sebarkan. Ini menciptakan lingkaran setan yang terus berulang.
Melihat betapa canggih dan murahnya akses ke alat kejahatan seperti VVS Stealer ini, rasanya kita harus lebih waspada dalam menjaga aset digital. Jangan pernah meremehkan peringatan error yang mencurigakan atau mengunduh file dari sumber yang nggak jelas, karena bisa jadi itu pintu masuk bagi mereka untuk menguasai data kalian. Selalu aktifkan otentikasi dua faktor (2FA) dan perbarui antivirus kalian secara berkala. Semoga informasi ini bisa ngebantu kalian lebih aware sama ancaman di luar sana. Sampai jumpa di artikel berikutnya, rekan-rekanita, dan terima kasih sudah membaca!