Η νέα έκδοση του κακόβουλου λογισμικού AnarchyGrabber έχει πραγματικά μετατρέψει το Discord (ένα δωρεάν instant messenger με υποστήριξη για VoIP και τηλεδιάσκεψη) σε κλέφτη λογαριασμών. Το κακόβουλο λογισμικό τροποποιεί τα αρχεία πελάτη Discord με τέτοιο τρόπο ώστε να κλέβει λογαριασμούς χρηστών κατά τη σύνδεση στην υπηρεσία Discord και ταυτόχρονα να παραμένει αόρατο στα προγράμματα προστασίας από ιούς.
Πληροφορίες για το AnarchyGrabber διαδίδονται σε φόρουμ χάκερ και βίντεο στο YouTube. Η ουσία της εφαρμογής είναι ότι κατά την εκκίνηση, το κακόβουλο λογισμικό κλέβει τα διακριτικά χρήστη του εγγεγραμμένου χρήστη Discord. Αυτά τα διακριτικά στη συνέχεια αποστέλλονται ξανά στο κανάλι Discord υπό τον έλεγχο του εισβολέα και μπορούν να χρησιμοποιηθούν για να συνδεθείτε με τα διαπιστευτήρια χρήστη κάποιου άλλου.
Η αρχική έκδοση του κακόβουλου λογισμικού διανεμήθηκε ως ένα εκτελέσιμο αρχείο που εντοπίστηκε εύκολα από προγράμματα προστασίας από ιούς. Για να καταστήσουν το AnarchyGrabber πιο δύσκολο να εντοπιστεί από τα προγράμματα προστασίας από ιούς και να αυξήσουν τη δυνατότητα επιβίωσης, οι προγραμματιστές έχουν ενημερώσει το πνευματικό τέκνο τους και τώρα αλλάζει τα αρχεία JavaScript που χρησιμοποιεί ο πελάτης Discord για να εισάγει τον κώδικά του κάθε φορά που εκτελείται. Αυτή η έκδοση έλαβε ένα πολύ πρωτότυπο όνομα AnarchyGrabber2 και, κατά την εκκίνηση, εισάγει κακόβουλο κώδικα στο αρχείο "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Μετά την εκτέλεση του AnarchyGrabber2, ο τροποποιημένος κώδικας JavaScript από τον υποφάκελο 4n4rchy θα εμφανιστεί στο αρχείο index.js, όπως φαίνεται παρακάτω.
Με αυτές τις αλλαγές, επιπλέον κακόβουλα αρχεία JavaScript θα φορτωθούν επίσης κατά την εκκίνηση του Discord. Τώρα, όταν ο χρήστης συνδεθεί στο messenger, τα σενάρια θα χρησιμοποιήσουν το webhook για να στείλουν το διακριτικό του χρήστη στο κανάλι του εισβολέα.
Αυτό που κάνει αυτή την τροποποίηση του προγράμματος-πελάτη Discord ένα τέτοιο πρόβλημα είναι ότι ακόμα κι αν το αρχικό εκτελέσιμο κακόβουλο λογισμικό εντοπιστεί από το πρόγραμμα προστασίας από ιούς, τα αρχεία του προγράμματος-πελάτη θα έχουν ήδη τροποποιηθεί. Επομένως, ο κακόβουλος κώδικας μπορεί να παραμείνει στο μηχάνημα για αυθαίρετα μεγάλο χρονικό διάστημα και ο χρήστης δεν θα υποψιαστεί καν ότι οι πληροφορίες του λογαριασμού του έχουν κλαπεί.
Δεν είναι η πρώτη φορά που κακόβουλο λογισμικό τροποποιεί τα αρχεία πελάτη Discord. Τον Οκτώβριο του 2019, αναφέρθηκε επίσης ότι ένα άλλο κακόβουλο λογισμικό τροποποιούσε αρχεία πελατών, μετατρέποντας τον πελάτη Discord σε Trojan που κλέβει πληροφορίες. Εκείνη την εποχή, η εταιρεία ανάπτυξης Discord δήλωσε ότι θα αναζητούσε τρόπους για να διορθώσει αυτήν την ευπάθεια, αλλά το πρόβλημα, προφανώς, δεν έχει ακόμη επιλυθεί.
Έως ότου το Discord προσθέσει έναν έλεγχο ακεραιότητας αρχείων πελάτη κατά την εκκίνηση, οι λογαριασμοί Discord θα συνεχίσουν να κινδυνεύουν από κακόβουλο λογισμικό που κάνει αλλαγές στα αρχεία αυτού του messenger.
Πηγή: 3dnews.ru