Nova verzija zlonamjernog softvera AnarchyGrabber zapravo je pretvorila Discord (besplatni instant messenger koji podržava VoIP i video konferencije) u kradljivca naloga. Zlonamjerni softver modificira Discord klijentske datoteke na način da krade korisničke račune prilikom prijavljivanja na Discord servis i istovremeno ostaje nevidljiv za antiviruse.
Informacije o AnarchyGrabberu se šire na hakerskim forumima i YouTube video zapisima. Pretpostavka aplikacije je da kada se pokrene, zlonamjerni softver krade korisničke tokene registriranog korisnika Discorda. Ovi tokeni se zatim učitavaju nazad na Discord kanal pod kontrolom napadača i mogu se koristiti za prijavu s tuđim korisničkim akreditivima.
Originalna verzija zlonamjernog softvera distribuirana je kao izvršna datoteka koju su antivirusni programi lako otkrili. Kako bi antivirusima bilo teže otkriti AnarchyGrabber i povećali mogućnost preživljavanja, programeri su ažurirali svoju zamisao tako da sada modificira JavaScript datoteke koje koristi Discord klijent za ubacivanje koda svaki put kada se pokrene. Ova verzija je dobila vrlo originalno ime AnarchyGrabber2 i kada je pokrenuta, ubacuje zlonamjerni kod u datoteku “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
Nakon pokretanja AnarchyGrabber2, izmijenjeni JavaScript kod iz podfoldera 4n4rchy će se pojaviti u datoteci index.js, kao što je prikazano ispod.
Sa ovim promjenama, dodatne zlonamjerne JavaScript datoteke će se preuzeti kada pokrenete Discord. Sada, kada se korisnik prijavi u messenger, skripte će koristiti webhook da pošalju korisnikov token na kanal napadača.
Ono što ovu modifikaciju Discord klijenta čini takvim problemom je to što čak i ako antivirus otkrije originalnu izvršnu datoteku zlonamjernog softvera, klijentske datoteke će već biti izmijenjene. Dakle, zlonamjerni kod može ostati na mašini koliko god želi, a korisnik neće ni posumnjati da su mu podaci o računu ukradeni.
Ovo nije prvi put da zlonamjerni softver modificira Discord klijentske datoteke. U oktobru 2019. objavljeno je da je još jedan zlonamjerni softver također modificirao klijentske datoteke, pretvarajući Discord klijenta u trojanca koji krade informacije. U to vrijeme, Discord programer je izjavio da će tražiti načine da popravi ovu ranjivost, ali problem očigledno još nije riješen.
Sve dok Discord ne doda provjere integriteta datoteka klijenta pri pokretanju, Discord nalozi će i dalje biti izloženi riziku od zlonamjernog softvera koji vrši promjene u datotekama glasnika.
izvor: 3dnews.ru