Dietro l’armatura: come PyArmor è diventato il migliore amico di un cybercriminale

Quando uno strumento nato per proteggere il software diventa un’arma nelle mani dei criminali, i difensori sono costretti a inseguire. Nel mondo del malware, in continua evoluzione, VVS Stealer si distingue - non solo per ciò che ruba, ma per come si nasconde. Avvolgendosi in strati di protezione crittografica tramite PyArmor, questa minaccia basata su Python sta riscrivendo le regole dello spionaggio informatico, e gli utenti di Discord sono nel suo mirino.

Il paradosso di PyArmor

Comparso per la prima volta su Telegram nell’aprile 2025, VVS Stealer è progettato per esfiltrare token Discord, credenziali dei browser e cookie di sessione. Eppure, non è il furto di dati a far alzare le sopracciglia - è l’armatura digitale che il malware indossa. PyArmor, uno strumento legittimo pensato per proteggere la proprietà intellettuale degli sviluppatori, è ora il mantello dell’invisibilità del cybercriminale.

L’analisi forense di Unit 42 ha rilevato VVS Stealer impacchettato con PyInstaller e schermato da PyArmor versione 9.1.4. Usando la modalità BCC, PyArmor trasmuta il codice Python in funzioni C, che vengono poi nascoste all’interno di una libreria a collegamento dinamico (DLL). Questo trucco ingegnoso fa sì che la logica Python originale risulti invisibile alla maggior parte degli strumenti di analisi statica e agli antivirus basati su firme.

Ma l’offuscazione non si ferma qui. Il malware cifra il proprio bytecode e le stringhe con AES-128-CTR, un cifrario robusto. Per intravedere anche solo il codice malevolo, gli analisti devono estrarre chiavi e nonce nascosti sepolti in profondità nella DLL di runtime di PyArmor - un processo che manda in crisi le sandbox automatizzate e frustra i ricercatori.

Smascherare la minaccia

Nonostante queste difese, i ricercatori sono riusciti a ripristinare l’header del bytecode e a usare strumenti di decompilazione per rivelare le reali capacità di VVS Stealer. Sotto l’armatura, il malware è un ladro a tutto tondo: termina i processi Discord in esecuzione e inietta JavaScript malevolo, consentendogli di intercettare i login e persino aggirare l’autenticazione a più fattori. Dà anche la caccia ai dati del browser - cookie, cronologia e informazioni di compilazione automatica - li comprime in un archivio e li invia all’esterno tramite webhook di Discord.

Per restare sul sistema della vittima, VVS Stealer si copia nella cartella Avvio di Windows. Usa persino la manipolazione psicologica, mostrando falsi messaggi di errore per spingere le vittime a riavviare e consolidare l’infezione. È un promemoria inquietante di come gli strumenti a duplice uso possano potenziare sia i difensori sia gli attaccanti, con un equilibrio in costante spostamento.

La strada davanti

La vicenda di VVS Stealer evidenzia una realtà amara: mentre i difensori innovano, lo fanno anche i criminali - talvolta con gli stessi strumenti pensati per tenerci al sicuro. La sfida per la cybersecurity non è solo costruire armature migliori, ma imparare a vedere attraverso di esse.

WIKICROOK

• Offuscazione: l’offuscazione è la pratica di camuffare codice o dati per renderli difficili da comprendere, analizzare o rilevare per gli esseri umani o per gli strumenti di sicurezza.
• PyArmor: PyArmor è uno strumento commerciale che cifra e offusca il codice Python, proteggendolo dal reverse engineering e dagli accessi non autorizzati.
• Analisi statica: l’analisi statica esamina il codice senza eseguirlo per individuare errori o vulnerabilità in anticipo, contribuendo a migliorare qualità e sicurezza del software.
• AES: AES (Advanced Encryption Standard) è un potente metodo di cifratura che rimescola i dati, rendendoli illeggibili senza la chiave corretta.
• DLL (Dynamic: una DLL è un file Windows che contiene codice e dati condivisi tra programmi, migliorando l’efficienza ma ponendo anche rischi di sicurezza se usata impropriamente.