Eine neue Version der AnarchyGrabber-Malware hat Discord (einen kostenlosen Instant Messenger, der VoIP und Videokonferenzen unterstützt) tatsächlich in einen Kontodieb verwandelt. Die Schadsoftware verändert die Dateien des Discord-Clients so, dass Benutzerkonten bei der Anmeldung beim Discord-Dienst gestohlen werden und gleichzeitig für Antivirenprogramme unsichtbar bleibt.
Informationen über AnarchyGrabber werden in Hackerforen und YouTube-Videos verbreitet. Der Grundgedanke der App ist, dass die Malware beim Start die Benutzertokens eines registrierten Discord-Benutzers stiehlt. Diese Token werden dann unter der Kontrolle des Angreifers wieder in den Discord-Kanal hochgeladen und können zum Anmelden mit den Benutzeranmeldeinformationen einer anderen Person verwendet werden.
Die Originalversion der Malware wurde als ausführbare Datei verbreitet, die von Antivirenprogrammen leicht erkannt werden konnte. Um die Erkennung von AnarchyGrabber durch Antivirenprogramme zu erschweren und die Überlebensfähigkeit zu erhöhen, haben die Entwickler ihre Idee so aktualisiert, dass sie nun bei jedem Start die JavaScript-Dateien ändert, die der Discord-Client verwendet, um seinen Code einzuschleusen. Diese Version erhielt den sehr originellen Namen AnarchyGrabber2 und fügt beim Start Schadcode in die Datei „%AppData%Discord[version]modulesdiscord_desktop_coreindex.js“ ein.
Nach dem Ausführen von AnarchyGrabber2 wird der geänderte JavaScript-Code aus dem 4n4rchy-Unterordner in der Datei index.js angezeigt, wie unten gezeigt.
Durch diese Änderungen werden zusätzliche schädliche JavaScript-Dateien heruntergeladen, wenn Sie Discord starten. Wenn sich nun ein Benutzer beim Messenger anmeldet, verwenden die Skripte einen Webhook, um das Token des Benutzers an den Kanal des Angreifers zu senden.
Was diese Änderung des Discord-Clients zu einem solchen Problem macht, ist, dass die Clientdateien bereits geändert wurden, selbst wenn die ursprüngliche ausführbare Malware-Datei vom Antivirenprogramm erkannt wird. Dadurch kann Schadcode beliebig lange auf dem Rechner verbleiben und der Nutzer ahnt nicht einmal, dass seine Kontodaten gestohlen wurden.
Dies ist nicht das erste Mal, dass Schadsoftware Discord-Clientdateien verändert. Im Oktober 2019 wurde berichtet, dass eine andere Schadsoftware auch Client-Dateien veränderte und den Discord-Client in einen Trojaner verwandelte, der Informationen stiehlt. Damals gab der Discord-Entwickler an, nach Möglichkeiten zur Behebung dieser Schwachstelle zu suchen, doch das Problem sei offenbar noch nicht behoben.
Bis Discord beim Start Client-Dateiintegritätsprüfungen hinzufügt, sind Discord-Konten weiterhin einem Risiko durch Malware ausgesetzt, die Änderungen an den Dateien des Messengers vornimmt.
Source: 3dnews.ru