La nova versio de la malware AnarchyGrabber fakte igis Discord (senpaga mesaĝisto kun subteno por VoIP kaj videokonferenco) en kontoŝtelisto. La malbon-programo modifas Discord-klientdosierojn tiel, ke ŝteli uzantkontojn dum ensaluto en la Discord-servon kaj samtempe restas nevideblaj por antivirusoj.
Informoj pri AnarchyGrabber disvastiĝas sur retpirataj forumoj kaj YouTube-videoj. La esenco de la aplikaĵo estas, ke dum la lanĉo, la malbon-programo ŝtelas la uzantajn ĵetonojn de la registrita uzanto de Discord. Ĉi tiuj ĵetonoj estas tiam alŝutitaj reen al la Discord-kanalo sub la kontrolo de la atakanto, kaj povas esti uzitaj por ensaluti kun la uzantkreditaĵoj de iu alia.
La komenca versio de la malware estis distribuita kiel rulebla dosiero, kiu estis facile detektita de antivirusaj programoj. Por ke AnarchyGrabber estas pli malfacile detektebla per antivirusoj kaj pliigi pluviveblon, la programistoj ĝisdatigis sian ideon, kaj nun ĝi ŝanĝas la JavaScript-dosierojn uzatajn de la kliento Discord por injekti sian kodon ĉiufoje kiam ĝi funkcias. Ĉi tiu versio ricevis tre originalan nomon AnarchyGrabber2 kaj, kiam ĝi estas lanĉita, injektas malican kodon en la dosieron "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Post rulado de AnarchyGrabber2, la modifita JavaScript-kodo de la subdosierujo 4n4rchy aperos en la dosiero index.js, kiel montrite sube.
Kun ĉi tiuj ŝanĝoj, pliaj malicaj JavaScript-dosieroj ankaŭ estos ŝarĝitaj kiam Discord komenciĝas. Nun kiam la uzanto ensalutas en la mesaĝisto, la skriptoj uzos la rethokon por sendi la ĵetonon de la uzanto al la kanalo de la atakanto.
Kio faras ĉi tiun modifon de la kliento Discord tia problemo estas, ke eĉ se la originala malware efektivigebla estas detektita de la antiviruso, la klientdosieroj jam estos modifitaj. Tial, la malica kodo povas resti sur la maŝino por arbitre longa tempo, kaj la uzanto eĉ ne suspektos, ke lia konta informo estas ŝtelita.
Ĉi tio ne estas la unua fojo, ke malware modifis Discord-klientdosierojn. En oktobro 2019, alia malbon-varo ankaŭ estis raportita modifanta klientajn dosierojn, igante la Discord-klienton en informŝtela trojano. Tiutempe, la programista kompanio Discord deklaris, ke ĝi serĉus manierojn ripari ĉi tiun vundeblecon, sed la problemo, ŝajne, ankoraŭ ne estis solvita.
Ĝis Discord aldonas kontrolon de integreco de kliento-dosieroj ĉe ekfunkciigo, Discord-kontoj daŭre riskos pro malware, kiu faras ŝanĝojn al la dosieroj de tiu mesaĝisto.
fonto: 3dnews.ru