Новая версія шкоднаснага ПА AnarchyGrabber фактычна ператварыла Discord (бясплатны мэсанджар з падтрымкай VoIP і відэаканферэнцый) у выкрадальніка акаўнтаў. Малвар змяняе кліенцкія файлы Discord так, каб выкрадаць уліковыя запісы карыстачоў пры ўваходзе ў сэрвіс Discord і пры гэтым заставацца незаўважнай для антывірусаў.
Інфармацыя пра AnarchyGrabber распаўсюджваецца на форумах хакераў і ў відэароліках на YouTube. Сутнасць прыкладання заключаецца ў тым, што падчас запуску шкоднаснае ПЗ крадзе карыстацкія токены зарэгістраванага карыстальніка Discord. Гэтыя токены потым загружаюцца зваротна на канал Discord пад кантролем зламысніка, і могуць быць скарыстаны для ўваходу ў сістэму пад чужымі карыстацкімі дадзенымі.
Першапачатковая версія шкоднаснага ПА распаўсюджвалася ў выглядзе выкананага файла, які лёгка выяўляўся антывіруснымі праграмамі. Каб зрабіць AnarchyGrabber больш цяжкім для выяўлення антывірусамі і павялічыць жывучасць, распрацоўнікі абнавілі сваё стварэнне, і зараз яно змяняе файлы JavaScript, выкарыстоўваныя кліентам Discord, для ўкаранення свайго кода пры кожным запуску. Гэтая версія атрымала вельмі арыгінальную назву AnarchyGrabber2 і пры сваім запуску ўкараняе шкоднасны код у файл "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Пасля запуску AnarchyGrabber2 у файле index.js з'явіцца мадыфікаваны код JavaScript з падтэчкі 4n4rchy, як паказана ніжэй.
З гэтымі зменамі пры запуску Discord будуць загружацца і дадатковыя шкоднасныя файлы JavaScript. Цяпер, калі карыстач уваходзіць у мэсанджар, сцэнары будуць выкарыстоўваць вэб-хук для адпраўкі токена карыстача на канал зламысніка.
Што робіць дадзеную мадыфікацыю кліента Discord такой праблемай, дык гэта тое, што нават калі зыходны выкананы файл шкоднаснага ПА будзе выяўлены антывірусам, кліенцкія файлы ўжо будуць змененыя. Таму шкоднасны код можа заставацца на машыне колькі заўгодна доўга, і карыстач нават не будзе падазраваць, што дадзеныя яго ўліковага запісу былі выкрадзеныя.
Гэта не першы выпадак, калі шкоднасная праграма змяняе кліенцкія файлы Discord. У кастрычніку 2019 года паведамлялася аб тым, што іншая шкоднасная праграма таксама мадыфікуе кліенцкія файлы, ператвараючы кліента Discord у траяна, які крадзе інфармацыю. Тады кампанія-распрацоўнік Discord заяўляла, што яна будзе шукаць спосабы ўхіліць гэтую ўразлівасць, але праблема, як відаць, дагэтуль не вырашана.
Да таго часу, пакуль Discord не дадасць праверку цэласнасці файлаў кліента пры запуску, уліковыя запісы Discord будуць па-ранейшаму падвяргацца рызыцы з-за шкоднасных праграм, якія ўносяць змены ў файлы гэтага месэнджара.
Крыніца: 3dnews.ru