Una nueva versión del malware AnarchyGrabber ha convertido a Discord (un servicio de mensajería instantánea gratuito que admite VoIP y videoconferencias) en un ladrón de cuentas. El malware modifica los archivos del cliente Discord de tal manera que roba cuentas de usuario cuando inician sesión en el servicio Discord y al mismo tiempo permanece invisible para los antivirus.
La información sobre AnarchyGrabber circula en foros de hackers y vídeos de YouTube. La premisa de la aplicación es que, cuando se inicia, el malware roba los tokens de usuario de un usuario registrado de Discord. Estos tokens luego se cargan nuevamente en el canal de Discord bajo el control del atacante y pueden usarse para iniciar sesión con las credenciales de usuario de otra persona.
La versión original del malware se distribuyó como un archivo ejecutable que los programas antivirus podían detectar fácilmente. Para hacer que AnarchyGrabber sea más difícil de detectar por los antivirus y aumentar la capacidad de supervivencia, los desarrolladores han actualizado su creación para que ahora modifique los archivos JavaScript utilizados por el cliente Discord para inyectar su código cada vez que se inicia. Esta versión recibió el nombre muy original AnarchyGrabber2 y cuando se inicia, inyecta código malicioso en el archivo “%AppData%Discord[versión]modulesdiscord_desktop_coreindex.js”.
Después de ejecutar AnarchyGrabber2, el código JavaScript modificado de la subcarpeta 4n4rchy aparecerá en el archivo index.js, como se muestra a continuación.
Con estos cambios, se descargarán archivos JavaScript maliciosos adicionales cuando inicie Discord. Ahora, cuando un usuario inicia sesión en Messenger, los scripts utilizarán un webhook para enviar el token del usuario al canal del atacante.
Lo que hace que esta modificación del cliente Discord sea un problema tan grande es que incluso si el antivirus detecta el ejecutable de malware original, los archivos del cliente ya habrán sido modificados. Por lo tanto, el código malicioso puede permanecer en la máquina todo el tiempo que desee y el usuario ni siquiera sospechará que le han robado los datos de su cuenta.
Esta no es la primera vez que el malware modifica los archivos del cliente Discord. En octubre de 2019, se informó que otro malware también estaba modificando los archivos del cliente, convirtiendo al cliente Discord en un troyano de robo de información. En ese momento, el desarrollador de Discord declaró que estaría buscando formas de solucionar esta vulnerabilidad, pero aparentemente el problema aún no se ha resuelto.
Hasta que Discord agregue comprobaciones de integridad de los archivos del cliente al inicio, las cuentas de Discord seguirán estando en riesgo de sufrir malware que realice cambios en los archivos del mensajero.
Fuente: 3dnews.ru