نسخه جدید بدافزار AnarchyGrabber در واقع Discord (یک پیام رسان فوری رایگان که از VoIP و کنفرانس ویدیویی پشتیبانی می کند) را به یک دزد حساب تبدیل کرده است. این بدافزار فایلهای مشتری Discord را طوری تغییر میدهد که هنگام ورود به سرویس Discord، حسابهای کاربری را بدزدد و در عین حال برای آنتیویروسها نامرئی بماند.
اطلاعات مربوط به AnarchyGrabber در انجمن های هکرها و ویدیوهای یوتیوب در حال پخش است. فرض برنامه این است که هنگام راه اندازی، بدافزار توکن های کاربر یک کاربر ثبت نام شده Discord را می دزدد. این توکنها سپس به کانال Discord تحت کنترل مهاجم بارگذاری میشوند و میتوانند برای ورود به سیستم با اعتبار کاربری شخص دیگری استفاده شوند.
نسخه اصلی بدافزار به عنوان یک فایل اجرایی توزیع شد که به راحتی توسط برنامه های آنتی ویروس شناسایی می شد. برای سختتر کردن AnarchyGrabber برای شناسایی توسط آنتیویروسها و افزایش قابلیت بقا، توسعهدهندگان ذهن خود را بهروزرسانی کردهاند به طوری که اکنون فایلهای جاوا اسکریپت مورد استفاده توسط کلاینت Discord را تغییر میدهد تا هر بار که راهاندازی میشود کد آن را تزریق کند. این نسخه نام بسیار اصلی AnarchyGrabber2 را دریافت کرد و پس از راهاندازی، کدهای مخرب را به فایل «%AppData%Discord[version]modulesdiscord_desktop_coreindex.js تزریق میکند».
پس از اجرای AnarchyGrabber2، کد جاوا اسکریپت تغییر یافته از زیر پوشه 4n4rchy مانند تصویر زیر در فایل index.js ظاهر می شود.
با این تغییرات، فایلهای مخرب جاوا اسکریپت با راهاندازی Discord دانلود میشوند. اکنون، زمانی که کاربر وارد پیامرسان میشود، اسکریپتها از یک هوک برای ارسال توکن کاربر به کانال مهاجم استفاده میکنند.
چیزی که این تغییر کلاینت Discord را به چنین مشکلی تبدیل می کند این است که حتی اگر فایل اجرایی بدافزار اصلی توسط آنتی ویروس شناسایی شود، فایل های کلاینت قبلاً اصلاح شده اند. بنابراین، کدهای مخرب می توانند تا زمانی که بخواهند روی دستگاه باقی بمانند و کاربر حتی به سرقت اطلاعات حسابش مشکوک نخواهد شد.
این اولین بار نیست که بدافزار فایل های مشتری Discord را تغییر می دهد. در اکتبر 2019، گزارش شد که یک بدافزار دیگر نیز در حال تغییر فایلهای کلاینت است و کلاینت Discord را به یک تروجان سرقت اطلاعات تبدیل میکند. در آن زمان، توسعهدهنده Discord اعلام کرد که به دنبال راههایی برای رفع این آسیبپذیری است، اما ظاهراً مشکل هنوز حل نشده است.
تا زمانی که Discord بررسیهای یکپارچگی فایل مشتری را هنگام راهاندازی اضافه نکند، حسابهای Discord همچنان در معرض خطر بدافزارهایی هستند که تغییراتی در فایلهای پیامرسان ایجاد میکنند.
منبع: 3dnews.ru