Nová verze malwaru AnarchyGrabber ve skutečnosti změnila Discord (bezplatný instant messenger, který podporuje VoIP a videokonference) ve zloděje účtů. Malware upravuje soubory klienta Discord tak, aby při přihlášení ke službě Discord ukradl uživatelské účty a zároveň zůstal neviditelný pro antiviry.
Informace o AnarchyGrabber se šíří na fórech hackerů a videích na YouTube. Předpokladem aplikace je, že při spuštění malware ukradne uživatelské tokeny registrovaného uživatele Discordu. Tyto tokeny jsou poté pod kontrolou útočníka nahrány zpět do kanálu Discord a lze je použít k přihlášení pomocí přihlašovacích údajů někoho jiného.
Původní verze malwaru byla distribuována jako spustitelný soubor, který antivirové programy snadno detekovaly. Aby byl AnarchyGrabber obtížněji detekovatelný antiviry a zvýšil se přežití, vývojáři aktualizovali své duchovní dítě tak, že nyní upravuje soubory JavaScriptu používané klientem Discord k vložení kódu při každém spuštění. Tato verze dostala velmi originální název AnarchyGrabber2 a po spuštění vkládá škodlivý kód do souboru „%AppData%Discord[version]modulesdiscord_desktop_coreindex.js“.
Po spuštění AnarchyGrabber2 se upravený kód JavaScript z podsložky 4n4rchy objeví v souboru index.js, jak je znázorněno níže.
Díky těmto změnám budou při spuštění Discordu staženy další škodlivé soubory JavaScriptu. Nyní, když se uživatel přihlásí do messengeru, skripty použijí webhook k odeslání uživatelského tokenu do kanálu útočníka.
Co dělá tuto úpravu klienta Discord takovým problémem, je to, že i když antivirus detekuje původní spustitelný soubor malwaru, soubory klienta již byly upraveny. Škodlivý kód tak může zůstat na stroji libovolně dlouho a uživatel ani nebude mít podezření, že data jeho účtu byla odcizena.
Není to poprvé, co malware upravil soubory klienta Discord. V říjnu 2019 bylo oznámeno, že další malware také upravoval klientské soubory a změnil klienta Discord na trojského koně, který kradl informace. Vývojář Discordu tehdy uvedl, že bude hledat způsoby, jak tuto zranitelnost opravit, ale problém zřejmě ještě nebyl vyřešen.
Dokud Discord nepřidá kontroly integrity klientských souborů při spuštění, budou účty Discord nadále ohroženy malwarem, který provádí změny v souborech messengeru.
Zdroj: 3dnews.ru