A comienzos de enero de 2026 se ha detectado la aparición de VVS Stealer, un malware especializado en el robo de credenciales y datos almacenados en Discord y navegadores web como Chromium y Firefox. Este nuevo troyano, distribuido principalmente a través de canales clandestinos en Telegram, utiliza técnicas de ingeniería social y scripts de Python altamente ofuscados para pasar desapercibido ante las soluciones de seguridad habituales. Su capacidad de persistencia y su agresiva exfiltración de información lo convierten en una amenaza relevante que pone en riesgo tanto a usuarios individuales como a organizaciones.
VVS Stealer se distribuye en forma de ejecutable generado con PyInstaller a partir de código Python, ofuscado mediante Pyarmor. Esta ofuscación dificulta su análisis y detección. El malware se instala agregándose automáticamente a la carpeta de inicio de Windows, lo que le permite ejecutarse tras cada reinicio del sistema. Una vez activo, simula mensajes de error para no alertar a la víctima y realiza inyecciones de código en sesiones de Discord para capturar tokens de acceso y credenciales, finalizando la sesión del usuario y monitorizándola con payloads JavaScript también ofuscados. Además, escanea navegadores Chromium y Firefox robando cookies, contraseñas, historiales e información de formularios.
Con el fin de mitigar el impacto de este nuevo modelo de malware, se recomienda:
-
Protección en endpoints: implementar tecnologías EDR/XDR con capacidad de detectar y analizar scripts ofuscados.
-
Medidas de red y ejecución: segmentar la red y aplicar políticas estrictas que limiten la ejecución de software procedente de orígenes desconocidos.
-
Actualizaciones y revisión periódica: mantener navegadores y Discord actualizados y revisar regularmente los permisos y las extensiones instaladas.
-
Respuesta ante sospecha de infección: realizar análisis forense, eliminar archivos de inicio maliciosos y restablecer credenciales que puedan haber quedado expuestas.
- Formación y concienciación: reforzar la capacitación de los usuarios para reconocer phishing y evitar descargas no legítimas, especialmente desde Telegram y foros no oficiales.
La evolución de campañas de malware como VVS Stealer refuerza la necesidad de combinar concienciación activa, tecnologías anti-malware modernas y buenas prácticas de higiene digital. Mantener entornos actualizados y restringir la ejecución de código no verificado sigue siendo una de las estrategias más eficaces para contener este tipo de amenazas.
Más información
- Stealer Malware Targets Discord, Chromium and Firefox to Steal Data: https://thehackernews.com/2026/01/new-vvs-stealer-malware-targets-discord.html
- Pyarmor-obfuscated VVS Stealer targets Discord, browser data: https://www.scworld.com/news/pyarmor-obfuscated-vvs-stealer-targets-discord-browser-data
