AnarchyGrabber-haittaohjelman uusi versio on itse asiassa tehnyt Discordista (ilmainen viestintä, joka tukee VoIP- ja videoneuvotteluja) tilivarkaaksi. Haittaohjelma muokkaa Discord-asiakastiedostoja siten, että se varastaa käyttäjätilejä Discord-palveluun kirjautuessaan ja samalla pysyy näkymättöminä virustentorjuntaohjelmille.
Tieto AnarchyGrabberista leviää hakkerifoorumeilla ja YouTube-videoissa. Sovelluksen ydin on, että käynnistyksen aikana haittaohjelma varastaa rekisteröidyn Discord-käyttäjän käyttäjätunnukset. Nämä tunnukset ladataan sitten takaisin Discord-kanavalle hyökkääjän hallinnassa, ja niitä voidaan käyttää kirjautumiseen jonkun toisen käyttäjätunnuksilla.
Haittaohjelman alkuperäinen versio jaettiin suoritettavana tiedostona, jonka virustorjuntaohjelmat havaitsivat helposti. Jotta AnarchyGrabber olisi vaikeampi havaita virustentorjuntaohjelmalla ja parantaa selviytymiskykyä, kehittäjät ovat päivittäneet ideansa, ja nyt se muuttaa Discord-asiakkaan käyttämiä JavaScript-tiedostoja syöttämään koodinsa joka kerta, kun se suoritetaan. Tämä versio sai erittäin alkuperäisen nimen AnarchyGrabber2, ja käynnistettäessä se ruiskuttaa haitallista koodia tiedostoon "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Kun AnarchyGrabber2 on suoritettu, 4n4rchy-alikansion muokattu JavaScript-koodi tulee näkyviin index.js-tiedostoon alla olevan kuvan mukaisesti.
Näiden muutosten myötä myös muita haitallisia JavaScript-tiedostoja ladataan, kun Discord käynnistyy. Nyt kun käyttäjä kirjautuu messengeriin, komentosarjat käyttävät webhookia lähettääkseen käyttäjän tunnuksen hyökkääjän kanavalle.
Mikä tekee tästä Discord-asiakkaan muutoksesta tällaisen ongelman, on se, että vaikka virustorjunta havaitsikin alkuperäisen haittaohjelman suoritettavan tiedoston, asiakastiedostoja on jo muokattu. Siksi haitallinen koodi voi jäädä koneeseen mielivaltaisen pitkään, eikä käyttäjä edes epäile, että hänen tilitietojaan on varastettu.
Tämä ei ole ensimmäinen kerta, kun haittaohjelmat ovat muuttaneet Discord-asiakastiedostoja. Lokakuussa 2019 ilmoitettiin myös toisen haittaohjelman muokkaavan asiakastiedostoja ja muuttaen Discord-asiakasohjelman tietoja varastavaksi troijalaiseksi. Tuolloin kehittäjäyritys Discord ilmoitti etsivänsä keinoja tämän haavoittuvuuden korjaamiseksi, mutta ongelmaa ei ilmeisesti ole vielä ratkaistu.
Kunnes Discord lisää asiakastiedostojen eheyden tarkistuksen käynnistyksen yhteydessä, Discord-tilit ovat edelleen vaarassa haittaohjelmien vuoksi, jotka tekevät muutoksia kyseisen messengerin tiedostoihin.
Lähde: 3dnews.ru