AnarchyGrabber malwarearen bertsio berri batek Discord (VoIP eta bideokonferentziak onartzen dituen doako berehalako mezularia) kontu lapur bihurtu du. Malwareak Discord bezeroaren fitxategiak aldatzen ditu Discord zerbitzuan saioa hastean erabiltzaile-kontuak lapurtzeko eta, aldi berean, antibirusentzat ikusezin izaten jarraitzen du.
AnarchyGrabber-i buruzko informazioa hacker foroetan eta YouTube-ko bideoetan zabaltzen ari da. Aplikazioaren premisa da abiarazten denean malwareak erregistratutako Discord erabiltzaile baten erabiltzaile-tokenak lapurtzen dituela. Ondoren, token hauek Discord kanalera kargatzen dira erasotzailearen kontrolpean, eta beste norbaiten erabiltzaile-kredentzialekin saioa hasteko erabil daitezke.
Malwarearen jatorrizko bertsioa birusen aurkako programek erraz detektatzen zuten fitxategi exekutagarri gisa banatu zen. AnarchyGrabber antibirusek detektatzeko zailagoa izan dadin eta biziraupena areagotzeko, garatzaileek beren ideia eguneratu dute, orain Discord bezeroak bere kodea injektatzeko erabiltzen dituen JavaScript fitxategiak aldatzen ditu abiarazten den bakoitzean. Bertsio honek AnarchyGrabber2 izen originala jaso zuen eta abiarazitakoan, "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js" fitxategian kode gaiztoa sartzen du.
AnarchyGrabber2 exekutatu ondoren, 4n4rchy azpikarpetatik aldatutako JavaScript kodea index.js fitxategian agertuko da, behean erakusten den moduan.
Aldaketa hauekin, JavaScript fitxategi gaizto gehigarriak deskargatuko dira Discord abiarazten duzunean. Orain, erabiltzaile bat messenger-en saioa hasten denean, scriptek webhook bat erabiliko dute erabiltzailearen tokena erasotzailearen kanalera bidaltzeko.
Discord bezeroaren aldaketa honek arazo bat eragiten du antibirusak jatorrizko malware exekutagarria detektatu badu ere, bezeroaren fitxategiak jada aldatuta egongo direla. Hori dela eta, kode gaiztoak nahi adina denboran egon daitezke makinan, eta erabiltzaileak ez du susmatuko bere kontuaren datuak lapurtu dizkionik ere.
Hau ez da malwareak Discord bezeroaren fitxategiak aldatzen dituen lehen aldia. 2019ko urrian, beste malware bat ere bezeroen fitxategiak aldatzen ari zela jakinarazi zen, Discord bezeroa informazioa lapurtzen duen Troiako bihurtuz. Garai hartan, Discord garatzaileak esan zuen ahultasun hori konpontzeko moduak bilatuko zituela, baina, itxuraz, arazoa oraindik ez da konpondu.
Discord-ek abiaraztean bezeroen fitxategien osotasun egiaztapenak gehitzen dituen arte, Discord-eko kontuek arriskuan jarraituko dute mezulariaren fitxategietan aldaketak egiten dituen malwarearen ondorioz.
Iturria: 3dnews.ru