AnarchyGrabber zərərli proqram təminatının yeni versiyası əslində Discord-u (VoIP və video konfransı dəstəkləyən pulsuz ani mesajlaşma proqramı) hesab oğruya çevirib. Zərərli proqram Discord müştəri fayllarını elə dəyişdirir ki, Discord xidmətinə daxil olarkən istifadəçi hesablarını oğurlayacaq və eyni zamanda antiviruslar üçün görünməz qalacaq.
AnarchyGrabber haqqında məlumat haker forumlarında və YouTube videolarında yayılır. Tətbiqin əsas mahiyyəti ondan ibarətdir ki, işə salındıqda zərərli proqram qeydiyyatdan keçmiş Discord istifadəçisinin istifadəçi nişanlarını oğurlayır. Bu tokenlər daha sonra təcavüzkarın nəzarəti altında Discord kanalına yenidən yüklənir və başqasının istifadəçi etimadnaməsi ilə daxil olmaq üçün istifadə edilə bilər.
Zərərli proqramın orijinal versiyası antivirus proqramları tərəfindən asanlıqla aşkarlanan icra edilə bilən fayl kimi paylanmışdır. AnarchyGrabber-in antiviruslar tərəfindən aşkarlanmasını çətinləşdirmək və sağ qalma qabiliyyətini artırmaq üçün tərtibatçılar öz beyinlərini yenilədilər ki, indi Discord müştərisi tərəfindən istifadə olunan JavaScript fayllarını hər dəfə işə salındıqda kodunu yeritmək üçün dəyişdirir. Bu versiya çox orijinal AnarchyGrabber2 adını aldı və işə salındıqda “%AppData%Discord[versiya]modulesdiscord_desktop_coreindex.js” faylına zərərli kodu yeridir.
AnarchyGrabber2-ni işə saldıqdan sonra 4n4rchy alt qovluğundan dəyişdirilmiş JavaScript kodu aşağıda göstərildiyi kimi index.js faylında görünəcək.
Bu dəyişikliklərlə Discord-u işə saldığınız zaman əlavə zərərli JavaScript faylları endiriləcək. İndi istifadəçi messencerə daxil olduqda, skriptlər istifadəçinin işarəsini təcavüzkarın kanalına göndərmək üçün veb-qancadan istifadə edəcək.
Discord müştərisinin bu modifikasiyasını belə problemə çevirən odur ki, orijinal zərərli proqram icra edilə bilən proqram antivirus tərəfindən aşkar edilsə belə, müştəri faylları artıq dəyişdirilmiş olacaq. Buna görə də, zərərli kod maşında istədiyi qədər qala bilər və istifadəçi hesab məlumatlarının oğurlandığından belə şübhələnməyəcək.
Zərərli proqram Discord müştəri fayllarını dəyişdirən ilk dəfə deyil. 2019-cu ilin oktyabr ayında başqa bir zərərli proqram parçasının da müştəri fayllarını dəyişdirərək Discord müştərisini məlumat oğurlayan troyana çevirdiyi bildirildi. Həmin vaxt Discord tərtibatçısı bu zəifliyi aradan qaldırmağın yollarını axtaracağını bildirmişdi, lakin görünür, problem hələ də həll olunmayıb.
Discord işə başlayanda müştəri faylının bütövlüyü yoxlamalarını əlavə edənə qədər Discord hesabları messencerin fayllarında dəyişiklik edən zərərli proqramlardan risk altında qalmağa davam edəcək.
Mənbə: 3dnews.ru