'n Nuwe weergawe van die AnarchyGrabber-wanware het Discord ('n gratis kitsboodskapper wat VoIP en videokonferensies ondersteun) eintlik in 'n rekeningdief verander. Die wanware wysig Discord-kliëntlêers op so 'n manier dat dit gebruikersrekeninge steel wanneer jy by die Discord-diens aanmeld en terselfdertyd onsigbaar bly vir antivirusse.
Inligting oor AnarchyGrabber word op kuberforums en YouTube-video's versprei. Die uitgangspunt van die toepassing is dat wanneer dit bekendgestel word, die wanware die gebruikertekens van 'n geregistreerde Discord-gebruiker steel. Hierdie tokens word dan teruggelaai na die Discord-kanaal onder die beheer van die aanvaller, en kan gebruik word om aan te meld met iemand anders se gebruikersbewyse.
Die oorspronklike weergawe van die wanware is versprei as 'n uitvoerbare lêer wat maklik deur antivirusprogramme opgespoor is. Om AnarchyGrabber moeiliker te maak om deur antivirusse op te spoor en oorlewingbaarheid te verhoog, het die ontwikkelaars hul breinkind opgedateer sodat dit nou die JavaScript-lêers wat deur die Discord-kliënt gebruik word, verander om sy kode in te spuit elke keer as dit geloods word. Hierdie weergawe het die baie oorspronklike naam AnarchyGrabber2 gekry en wanneer dit bekendgestel word, spuit dit kwaadwillige kode in die lêer "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Nadat jy AnarchyGrabber2 laat loop het, sal die gewysigde JavaScript-kode van die 4n4rchy-subgids in die index.js-lêer verskyn, soos hieronder getoon.
Met hierdie veranderinge sal bykomende kwaadwillige JavaScript-lêers afgelaai word wanneer jy Discord begin. Nou, wanneer 'n gebruiker by messenger aanmeld, sal die skrifte 'n webhook gebruik om die gebruiker se teken na die aanvaller se kanaal te stuur.
Wat hierdie wysiging van die Discord-kliënt so 'n probleem maak, is dat selfs al word die oorspronklike wanware-uitvoerbare bestand deur die antivirus opgespoor, die kliëntlêers reeds gewysig sal wees. Daarom kan kwaadwillige kode so lank as wat verlang word op die masjien bly, en die gebruiker sal nie eers vermoed dat sy rekeningdata gesteel is nie.
Dit is nie die eerste keer dat wanware Discord-kliëntlêers gewysig het nie. In Oktober 2019 is daar berig dat 'n ander stuk wanware ook besig was om kliëntlêers te wysig, wat die Discord-kliënt in 'n inligting-steelende Trojaan verander het. Destyds het die Discord-ontwikkelaar gesê dat hy maniere sou soek om hierdie kwesbaarheid op te los, maar die probleem is blykbaar nog nie opgelos nie.
Totdat Discord kliëntlêerintegriteitkontroles by aanvang byvoeg, sal Discord-rekeninge voortgaan om die risiko te loop van wanware wat veranderinge aan die boodskapper se lêers aanbring.
Bron: 3dnews.ru