Logo TecMundo
Segurança

Vírus que rouba contas do Discord é vendido por menos de R$ 60

Malware invisível a 67% dos antivírus transforma empresas legítimas em distribuidoras involuntárias de infecção através de credenciais administrativas roubadas

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule05/01/2026, às 16:30

updateAtualizado em 06/01/2026, às 13:40

Por apenas € 10 (R$ 58) por semana, criminosos podem comprar no Telegram um dos malwares mais sofisticados de 2025. O VVS Stealer, descoberto por pesquisadores da Palo Alto Networks e Deep Code, não é apenas mais um ladrão de senhas — ele representa uma nova geração de ameaças que se alimentam de suas próprias vítimas. 

De acordo com relatórios publicados entre abril e janeiro de 2026, o malware rouba credenciais de usuários do Discord e navegadores web. Mas o verdadeiro perigo está no que vem depois: essas senhas roubadas são usadas para invadir sites legítimos, que então hospedam novas campanhas de infecção em um ciclo que se perpetua sozinho. 

smart_display

Nossos vídeos em destaque

Dados da Hudson Rock revelam que de 1.635 domínios rastreados hospedando campanhas maliciosas, 220 (13%) pertencem a empresas reais cujas credenciais administrativas foram roubadas — pelos mesmos infostealers que agora distribuem.

Como funciona o VVS Stealer?

Escrito em Python 3.11.5 e distribuído como pacote PyInstaller, o VVS Stealer usa uma ferramenta legítima chamada Pyarmor (versão 9.1.4 Pro) para ofuscar seu código, tornando-o praticamente invisível para antivírus tradicionais.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

"O código do VVS Stealer é ofuscado pelo Pyarmor", explicam os pesquisadores Pranay Kumar Chhaparwal e Lee Wei Yeong, da Palo Alto Networks. "Essa ferramenta pode ser usada para fins legítimos e também para criar malware furtivo." 

 

A ofuscação do Pyarmor funciona em três camadas: 

  1. Criptografia AES-128-CTR: todo o código Python é criptografado com chaves únicas vinculadas à licença do Pyarmor;
  2. Modo BCC (ByteCode Compilation): converte funções Python em código C compilado, armazenado em arquivos ELF — impossível de ler com ferramentas tradicionais;
  3. Strings criptografadas: URLs de comando e controle (C2) e outras informações sensíveis ficam ocultas até a execução.

Segundo análise da VirusTotal, apenas 24 de 72 fornecedores de segurança detectam o malware — uma taxa de detecção de apenas 33%.

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília

Uma vez executado, o malware se copia automaticamente para a pasta Inicialização do Windows (C:\Users\[Username]\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup), garantindo que seja reiniciado automaticamente após cada boot do sistema. 

Exibe uma mensagem falsa de "Erro Fatal" usando a API MessageBoxW do Windows, instruindo o usuário a reiniciar o computador "para resolver um erro crítico". Enquanto isso, o malware trabalha em segundo plano. 

O VVS Stealer varre arquivos .ldb e .log no diretório LevelDB do Discord, procurando por tokens criptografados que começam com o prefixo "dQw4w9WgXcQ:". Usa a API DPAPI (Data Protection API) do Windows para descriptografá-los. Com os tokens em mãos, consulta múltiplos endpoints da API do Discord para coletar:

  • Email, telefone e dados pessoais;
  • Informações de pagamento e cartões salvos;
  • Status de assinatura Nitro;
  • Lista de amigos e servidores;
  • Endereço IP e metadados do sistema;

Status de autenticação de dois fatores (MFA). 

O malware mata o processo do Discord e injeta um arquivo JavaScript ofuscado (injection-obf.js) no diretório da aplicação Electron. E então o script monitora, em tempo real, acções do usuário como visualização de códigos de backup, alterações de senha, adição de métodos de pagamento, ativação e desativação de Autenticação de Múltiplo Fator (MFA).

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

O JavaScript foi ofuscado usando Obfuscator.io, mas pesquisadores conseguiram decodificá-lo usando a ferramenta Obfuscator.io Deobfuscator. Ele suporta mais de 20 navegadores incluindo os baseados em Chromium como Chrome, Edge, Brave, Opera, Opera GX e Vivaldi, e aqueles em Firefox como o próprio Firefox, o Waterfox e Pale Moon.

A partir desses navegadores, o malware capta senhas salvas, cookies de sessão, histórico de navegação, dados de preenchimento automático e informações de cartões salvos. Depois, todas essas informações são compactadas em um arquivo ZIP nomeado  <USERNAME>_vault.zip e enviado via requisições HTTP POST para webhooks predefinidos do Discord. 

Os webhooks são uma funcionalidade oficial do Discord que "não exigem um usuário bot ou autenticação para serem usados", segundo documentação oficial da plataforma.

O malware possui um sistema de expiração integrado — a versão analisada para de funcionar após 31 de outubro de 2026, forçando os compradores a renovarem suas licenças.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

Vendido no Telegram desde abril de 2025, o VVS Stealer é comercializado como "o ladrão definitivo" com planos de assinatura baratos, e as possibilidades de pagar em Litecoin (LTC) e PayPal:

  • € 10 (R$ 58) — 7 dias;
  • € 20 (R$ 117) — 1 mês; 
  • € 40 (R$ 234) — 3 meses; 
  • € 90 (R$ 527) — 1 ano; 
  • € 199 (R$ 1.165) — licença vitalícia.

Por apenas € 10 (R$ 58) por semana, qualquer pessoa pode entrar para o negócio do cibercrime. Basta acessar o Telegram e comprar o VVS Stealer, um dos malwares mais sofisticados de 2025 que representa uma nova geração de ameaças digitais: aquelas que se alimentam de suas próprias vítimas.

Descoberto por pesquisadores da Palo Alto Networks e Deep Code, o VVS não é apenas mais um ladrão de senhas. Ele rouba credenciais de usuários do Discord e navegadores web — mas o verdadeiro perigo está no que vem depois: essas senhas são usadas para invadir sites legítimos, que então hospedam novas campanhas de infecção em um ciclo que se perpetua sozinho.

O ciclo que se alimenta sozinho

Dados da Hudson Rock revelam a dimensão do problema: de 1.635 domínios rastreados hospedando campanhas maliciosas, 220 (13%) pertencem a empresas reais cujas credenciais administrativas foram roubadas — pelos mesmos infostealers que agora distribuem.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

O processo funciona assim: o VVS infecta um funcionário, rouba suas credenciais de administrador do site da empresa, criminosos invadem o site legítimo usando essas senhas roubadas, injetam código malicioso no site oficial, e visitantes são infectados com o mesmo VVS Stealer. O ciclo recomeça.

Invisível para a maioria dos antivírus

Escrito em Python 3.11.5 e distribuído como pacote PyInstaller, o VVS usa uma ferramenta legítima chamada Pyarmor (versão 9.1.4 Pro) para ofuscar seu código, tornando-o praticamente invisível."

O código do VVS Stealer é ofuscado pelo Pyarmor", explicam os pesquisadores Pranay Kumar Chhaparwal e Lee Wei Yeong, da Palo Alto Networks. “Essa ferramenta pode ser usada para fins legítimos e também para criar malware furtivo.”

A ofuscação funciona em três camadas: criptografia AES-128-CTR de todo o código, conversão de funções Python em código C compilado (impossível de ler com ferramentas tradicionais), e strings criptografadas que ocultam URLs de comando até a execução.

Leia Mais
EUA usaram Claude IA para atacar Irã mesmo com Anthropic banida

O resultado? Segundo análise da VirusTotal, apenas 24 de 72 fornecedores de segurança detectam o malware, uma taxa de detecção de apenas 33%.

O ataque silencioso

Uma vez executado, o malware se copia automaticamente para a pasta de Inicialização do Windows, garantindo que seja reiniciado após cada boot do sistema. Exibe uma mensagem falsa de "Erro Fatal" instruindo o usuário a reiniciar o computador "para resolver um erro crítico". Enquanto isso, trabalha em segundo plano.

O VVS varre arquivos do Discord procurando por tokens criptografados e usa a API DPAPI do Windows para descriptografá-los. Com os tokens em mãos, coleta email, telefone, informações de pagamento e cartões salvos, status de assinatura Nitro, lista de amigos e servidores, endereço IP e até status de autenticação de dois fatores.

Depois, o malware mata o processo do Discord e injeta um arquivo JavaScript ofuscado que monitora, em tempo real, ações do usuário como visualização de códigos de backup, alterações de senha, adição de métodos de pagamento e ativação de autenticação multifator.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

Mais de 20 navegadores comprometidos

O malware suporta navegadores baseados em Chromium (Chrome, Edge, Brave, Opera, Opera GX, Vivaldi) e Firefox (Firefox, Waterfox, Pale Moon). De todos eles, capta senhas salvas, cookies de sessão, histórico de navegação, dados de preenchimento automático e informações de cartões.

Todas as informações são compactadas em um arquivo ZIP e enviadas via requisições HTTP POST para webhooks do Discord — uma funcionalidade oficial da plataforma que "não exige um usuário bot ou autenticação para ser usada", segundo documentação oficial.

A técnica ClickFix

Para distribuir o VVS e outros malwares similares, criminosos adotaram o ClickFix, técnica de engenharia social que se tornou padrão da indústria em 2025.

O ClickFix não ataca computadores e sim a confiança humana. Usuários acessam sites (legítimos comprometidos ou falsos) e veem mensagens como "Verifique se você é humano" ou "Seu navegador precisa de atualização". 

Leia Mais
Como Vorcaro teria vazado dados da Polícia Federal, FBI e até Interpol
VVS_Stealer.jpg
Sites comprometidos com o ClickFix tem mudanças nas ferramentas de verificação de humanidade. Imagem: Infostealers.

Ao clicar, um código malicioso é copiado para a área de transferência. A tela instrui: "Pressione Windows + R, depois Ctrl + V e Enter". O usuário executa o comando achando que está resolvendo um problema — mas está instalando o malware.

A técnica evoluiu rapidamente. Começou imitando CAPTCHAs do Google, passou a simular erros de navegador e, desde novembro, exibe telas falsas de atualização do Windows em modo fullscreen, indistinguíveis da interface real.

A versão mais sofisticada usa esteganografia: malware escondido dentro de imagens PNG. O arquivo parece uma foto normal, mas contém código malicioso nos dados dos pixels, impossível de detectar com scanners tradicionais.

Quem está por trás

Grupos patrocinados por governos da Coreia do Norte, Irã e Rússia adotaram a técnica desde o final de 2024. Os alvos vão de indivíduos comuns a empresas de tecnologia, bancos, hospitais, universidades e think tanks de pesquisa.

Leia Mais
Vídeo mostra 'túnel de drones' do Irã preparados para ataque

Além do VVS, outros malwares distribuídos pelo ClickFix incluem Lumma, Vidar, Rhadamanthys, DarkGate, Latrodectus e diversos tipos de RATs (Remote Access Trojans).

A dimensão global

Estados Unidos, China, Alemanha, Índia e França lideram as estatísticas de infecção. Campanhas direcionadas atingiram empresas israelenses, alemãs e do setor de pesquisa americano. No Brasil e Portugal, circula o Lampion, variante adaptada para a região.

Segundo o ClickFix Hunter, ferramenta que rastreia a ameaça, há 1.635 sites ativos hospedando o golpe, com crescimento constante desde o início do ano.

Quer saber mais sobre esse assunto? Siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de segurança e tecnologia.

Perguntas Frequentes

O que é o VVS Stealer e por que ele é considerado tão perigoso?
O VVS Stealer é um malware sofisticado vendido por apenas € 10 (R$ 58) por semana no Telegram. Ele rouba credenciais de usuários do Discord e navegadores web, mas seu maior perigo está no ciclo de infecção que cria: usa as credenciais roubadas para invadir sites legítimos, que passam a hospedar novas campanhas de infecção, perpetuando o ataque automaticamente.
Como o VVS Stealer consegue escapar da detecção por antivírus?
O VVS Stealer é escrito em Python 3.11.5 e distribuído como pacote PyInstaller. Ele utiliza a ferramenta legítima Pyarmor (versão 9.1.4 Pro) para ofuscar seu código em três camadas: criptografia AES-128-CTR, conversão de funções Python em código C compilado e criptografia de strings sensíveis. Isso o torna invisível para 67% dos antivírus, com apenas 33% de taxa de detecção segundo a VirusTotal.
Quais informações o VVS Stealer coleta das vítimas?
O malware coleta uma ampla gama de dados, incluindo email, telefone, informações de pagamento, status da assinatura Nitro, lista de amigos e servidores do Discord, endereço IP, senhas salvas, cookies, histórico de navegação, dados de preenchimento automático e status de autenticação de dois fatores (MFA). Esses dados são compactados em um arquivo ZIP e enviados via webhooks do Discord.
Como o VVS Stealer se instala e se mantém ativo no sistema?
Após ser executado, o VVS Stealer se copia automaticamente para a pasta de Inicialização do Windows, garantindo que seja reiniciado a cada boot. Ele exibe uma mensagem falsa de "Erro Fatal" para enganar o usuário e, enquanto isso, opera em segundo plano coletando dados e monitorando atividades.
O que é a técnica ClickFix e como ela é usada para espalhar o VVS Stealer?
ClickFix é uma técnica de engenharia social que engana o usuário para instalar o malware. Sites comprometidos exibem mensagens como "Verifique se você é humano" ou "Seu navegador precisa de atualização". Ao seguir as instruções, o usuário copia e executa comandos maliciosos. Versões mais avançadas usam esteganografia, escondendo o malware dentro de imagens PNG aparentemente inofensivas.
Quais navegadores são afetados pelo VVS Stealer?
O VVS Stealer é compatível com mais de 20 navegadores, incluindo os baseados em Chromium (Chrome, Edge, Brave, Opera, Opera GX, Vivaldi) e Firefox (Firefox, Waterfox, Pale Moon). Ele extrai senhas, cookies, histórico e dados de preenchimento automático desses navegadores.
Como o VVS Stealer compromete empresas legítimas?
O malware rouba credenciais administrativas de funcionários e permite que criminosos invadam sites corporativos legítimos. Esses sites são então usados para hospedar novas campanhas de infecção, transformando empresas reais em distribuidoras involuntárias do próprio malware. Segundo a Hudson Rock, 13% dos 1.635 domínios rastreados pertencem a empresas reais comprometidas.
Quem está por trás da distribuição do VVS Stealer e outras ameaças similares?
Grupos patrocinados por governos da Coreia do Norte, Irã e Rússia adotaram a técnica ClickFix desde o final de 2024. Eles visam desde usuários comuns até empresas de tecnologia, bancos, hospitais e centros de pesquisa. Além do VVS, outros malwares como Lumma, Vidar, Rhadamanthys e DarkGate também são distribuídos por esses grupos.
Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall

Ofertas TecMundo

Atualizado há 1 dia
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
Echo Spot
19% off

Imperdível!

Echo Spot

R$ 469,00

Casa Inteligente amazon.com.brnew_releases
Smartphone Samsung Galaxy S25+ 5G, 256GB
45% off

Cupom GANHOU100

Smartphone Samsung Galaxy S25+ 5G, 256GB

R$ 4.409,10

Celulares magazineluiza.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA