Une nouvelle version du malware AnarchyGrabber a en fait transformé Discord (une messagerie instantanée gratuite prenant en charge la VoIP et la vidéoconférence) en un voleur de compte. Le malware modifie les fichiers des clients Discord de manière à voler les comptes d'utilisateurs lors de la connexion au service Discord tout en restant invisible pour les antivirus.
Des informations sur AnarchyGrabber circulent sur des forums de hackers et des vidéos YouTube. Le principe de l'application est que lorsqu'il est lancé, le malware vole les jetons utilisateur d'un utilisateur Discord enregistré. Ces jetons sont ensuite téléchargés sur le canal Discord sous le contrôle de l'attaquant et peuvent être utilisés pour se connecter avec les informations d'identification de quelqu'un d'autre.
La version originale du malware était distribuée sous forme de fichier exécutable facilement détecté par les programmes antivirus. Pour rendre AnarchyGrabber plus difficile à détecter par les antivirus et augmenter la capacité de survie, les développeurs ont mis à jour leur idée afin qu'il modifie désormais les fichiers JavaScript utilisés par le client Discord pour injecter son code à chaque lancement. Cette version a reçu le nom très original AnarchyGrabber2 et lors de son lancement, elle injecte du code malveillant dans le fichier « %AppData%Discord[version]modulesdiscord_desktop_coreindex.js ».
Après avoir exécuté AnarchyGrabber2, le code JavaScript modifié du sous-dossier 4n4rchy apparaîtra dans le fichier index.js, comme indiqué ci-dessous.
Avec ces modifications, des fichiers JavaScript malveillants supplémentaires seront téléchargés lorsque vous lancerez Discord. Désormais, lorsqu'un utilisateur se connecte à Messenger, les scripts utilisent un webhook pour envoyer le jeton de l'utilisateur au canal de l'attaquant.
Ce qui fait de cette modification du client Discord un tel problème, c'est que même si l'exécutable du malware d'origine est détecté par l'antivirus, les fichiers client auront déjà été modifiés. Ainsi, le code malveillant peut rester sur la machine aussi longtemps qu'il le souhaite, et l'utilisateur ne soupçonnera même pas que les données de son compte ont été volées.
Ce n'est pas la première fois qu'un malware modifie les fichiers des clients Discord. En octobre 2019, il a été signalé qu'un autre logiciel malveillant modifiait également les fichiers des clients, transformant le client Discord en un cheval de Troie voleur d'informations. À l'époque, le développeur de Discord avait déclaré qu'il chercherait des moyens de corriger cette vulnérabilité, mais le problème n'a apparemment pas encore été résolu.
Jusqu'à ce que Discord ajoute des contrôles d'intégrité des fichiers clients au démarrage, les comptes Discord continueront d'être exposés aux logiciels malveillants qui modifient les fichiers du messager.
Source: 3dnews.ru