Mae fersiwn newydd o'r malware AnarchyGrabber mewn gwirionedd wedi troi Discord (negesydd gwib rhad ac am ddim sy'n cefnogi VoIP a fideo-gynadledda) yn lleidr cyfrif. Mae'r malware yn addasu ffeiliau cleient Discord yn y fath fodd ag i ddwyn cyfrifon defnyddwyr wrth fewngofnodi i'r gwasanaeth Discord ac ar yr un pryd yn parhau i fod yn anweledig i wrthfeirysau.
Mae gwybodaeth am AnarchyGrabber yn cael ei chylchredeg ar fforymau hacwyr a fideos YouTube. Cynsail yr ap yw, pan gaiff ei lansio, fod y meddalwedd maleisus yn dwyn tocynnau defnyddiwr defnyddiwr Discord cofrestredig. Yna caiff y tocynnau hyn eu llwytho yn ôl i'r sianel Discord o dan reolaeth yr ymosodwr, a gellir eu defnyddio i fewngofnodi gyda manylion defnyddiwr rhywun arall.
Dosbarthwyd fersiwn wreiddiol y malware fel ffeil gweithredadwy a oedd yn hawdd ei chanfod gan raglenni gwrthfeirws. Er mwyn gwneud AnarchyGrabber yn anos ei ganfod gan wrthfeirysau a chynyddu goroesiad, mae'r datblygwyr wedi diweddaru eu syniad fel ei fod bellach yn addasu'r ffeiliau JavaScript a ddefnyddir gan y cleient Discord i chwistrellu ei god bob tro y caiff ei lansio. Derbyniodd y fersiwn hwn yr enw gwreiddiol iawn AnarchyGrabber2 a phan gaiff ei lansio, mae'n chwistrellu cod maleisus i'r ffeil “% AppData% Discord[version]modulesdiscord_desktop_coreindex.js”.
Ar ôl rhedeg AnarchyGrabber2, bydd y cod JavaScript wedi'i addasu o'r is-ffolder 4n4rchy yn ymddangos yn y ffeil index.js, fel y dangosir isod.
Gyda'r newidiadau hyn, bydd ffeiliau JavaScript maleisus ychwanegol yn cael eu lawrlwytho pan fyddwch chi'n lansio Discord. Nawr, pan fydd defnyddiwr yn mewngofnodi i negesydd, bydd y sgriptiau'n defnyddio bachyn gwe i anfon tocyn y defnyddiwr i sianel yr ymosodwr.
Yr hyn sy'n gwneud yr addasiad hwn o'r cleient Discord yn gymaint o broblem yw hyd yn oed os yw'r gwrthfeirws yn canfod y gweithredadwy malware gwreiddiol, bydd ffeiliau'r cleient eisoes wedi'u haddasu. Felly, gall cod maleisus aros ar y peiriant cyhyd ag y dymunir, ac ni fydd y defnyddiwr hyd yn oed yn amau bod data ei gyfrif wedi'i ddwyn.
Nid dyma'r tro cyntaf i malware addasu ffeiliau cleient Discord. Ym mis Hydref 2019, adroddwyd bod darn arall o malware hefyd yn addasu ffeiliau cleientiaid, gan droi'r cleient Discord yn Trojan sy'n dwyn gwybodaeth. Ar y pryd, dywedodd datblygwr Discord y byddai'n chwilio am ffyrdd o ddatrys y bregusrwydd hwn, ond mae'n debyg nad yw'r broblem wedi'i datrys eto.
Hyd nes y bydd Discord yn ychwanegu gwiriadau cywirdeb ffeil cleient wrth gychwyn, bydd cyfrifon Discord yn parhau i fod mewn perygl o malware sy'n gwneud newidiadau i ffeiliau'r negesydd.
Ffynhonnell: 3dnewyddion.ru