Una nova versió del programari maliciós AnarchyGrabber ha convertit Discord (un missatger instantani gratuït que admet VoIP i videoconferències) en un lladre de comptes. El programari maliciós modifica els fitxers del client de Discord de manera que roba els comptes d'usuari quan inicieu sessió al servei de Discord i, al mateix temps, roman invisible per als antivirus.
La informació sobre AnarchyGrabber es distribueix als fòrums de pirates informàtics i als vídeos de YouTube. La premissa de l'aplicació és que, quan s'inicia, el programari maliciós roba els testimonis d'usuari d'un usuari de Discord registrat. Aquestes fitxes es tornen a penjar al canal de Discord sota el control de l'atacant i es poden utilitzar per iniciar sessió amb les credencials d'usuari d'una altra persona.
La versió original del programari maliciós es va distribuir com un fitxer executable que els programes antivirus detectaven fàcilment. Per fer que AnarchyGrabber sigui més difícil de detectar pels antivirus i augmentar la supervivència, els desenvolupadors han actualitzat la seva idea perquè ara modifiqui els fitxers JavaScript utilitzats pel client de Discord per injectar el seu codi cada vegada que es llança. Aquesta versió va rebre el nom molt original AnarchyGrabber2 i, quan es va llançar, injecta codi maliciós al fitxer "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Després d'executar AnarchyGrabber2, el codi JavaScript modificat de la subcarpeta 4n4rchy apareixerà al fitxer index.js, tal com es mostra a continuació.
Amb aquests canvis, es baixaran fitxers JavaScript maliciosos addicionals quan inicieu Discord. Ara, quan un usuari inicia sessió a Messenger, els scripts utilitzaran un webhook per enviar el testimoni de l'usuari al canal de l'atacant.
El que fa que aquesta modificació del client de Discord sigui un problema és que fins i tot si l'antivirus detecta l'executable de programari maliciós original, els fitxers del client ja s'hauran modificat. Per tant, el codi maliciós pot romandre a la màquina durant el temps que desitgi i l'usuari ni tan sols sospitarà que les dades del seu compte han estat robades.
Aquesta no és la primera vegada que el programari maliciós modifica els fitxers del client de Discord. L'octubre de 2019, es va informar que una altra peça de programari maliciós també estava modificant els fitxers del client, convertint el client Discord en un troià que robava informació. En aquell moment, el desenvolupador de Discord va declarar que buscaria maneres d'arreglar aquesta vulnerabilitat, però sembla que el problema encara no s'ha resolt.
Fins que Discord no afegeixi comprovacions d'integritat dels fitxers del client a l'inici, els comptes de Discord continuaran en risc de programari maliciós que faci canvis als fitxers del missatger.
Font: 3dnews.ru