En ny version af AnarchyGrabber malware har faktisk gjort Discord (en gratis instant messenger, der understøtter VoIP og videokonferencer) til en kontotyv. Malwaren modificerer Discord-klientfiler på en sådan måde, at den stjæler brugerkonti, når du logger på Discord-tjenesten og samtidig forbliver usynlig for antivirus.
Oplysninger om AnarchyGrabber bliver cirkuleret på hackerfora og YouTube-videoer. Udgangspunktet for appen er, at malwaren, når den lanceres, stjæler brugertokens fra en registreret Discord-bruger. Disse tokens uploades derefter tilbage til Discord-kanalen under kontrol af angriberen og kan bruges til at logge på med en andens brugeroplysninger.
Den originale version af malwaren blev distribueret som en eksekverbar fil, der let blev opdaget af antivirusprogrammer. For at gøre AnarchyGrabber sværere at opdage af antivirus og øge overlevelsesevnen, har udviklerne opdateret deres ide, så det nu ændrer JavaScript-filerne, der bruges af Discord-klienten, for at injicere sin kode, hver gang den lanceres. Denne version modtog det meget originale navn AnarchyGrabber2, og når den lanceres, injicerer den ondsindet kode i filen "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Efter at have kørt AnarchyGrabber2, vil den ændrede JavaScript-kode fra undermappen 4n4rchy vises i filen index.js, som vist nedenfor.
Med disse ændringer vil yderligere ondsindede JavaScript-filer blive downloadet, når du starter Discord. Nu, når en bruger logger på messenger, vil scripts bruge en webhook til at sende brugerens token til angriberens kanal.
Det, der gør denne ændring af Discord-klienten til et sådant problem, er, at selvom den originale eksekverbare malware opdages af antivirussen, vil klientfilerne allerede være blevet ændret. Derfor kan ondsindet kode forblive på maskinen så længe som ønsket, og brugeren vil ikke engang have mistanke om, at hans kontodata er blevet stjålet.
Dette er ikke første gang, at malware har ændret Discord-klientfiler. I oktober 2019 blev det rapporteret, at et andet stykke malware også modificerede klientfiler og forvandlede Discord-klienten til en informationstjælende trojaner. På det tidspunkt udtalte Discord-udvikleren, at den ville lede efter måder at løse denne sårbarhed på, men problemet er tilsyneladende ikke løst endnu.
Indtil Discord tilføjer klientfilintegritetstjek ved opstart, vil Discord-konti fortsat være i fare for malware, der foretager ændringer i messengerens filer.
Kilde: 3dnews.ru