A nova versión do malware AnarchyGrabber converteu Discord (un mensaxeiro gratuíto con soporte para VoIP e videoconferencia) nun ladrón de contas. O malware modifica os ficheiros do cliente de Discord de forma que rouba as contas dos usuarios ao iniciar sesión no servizo Discord e, ao mesmo tempo, permanece invisible para os antivirus.
A información sobre AnarchyGrabber estase a espallar nos foros de hackers e nos vídeos de YouTube. A esencia da aplicación é que durante o lanzamento, o malware rouba os tokens de usuario do usuario rexistrado de Discord. Estes tokens cárganse de novo na canle de Discord baixo o control do atacante e pódense usar para iniciar sesión coas credenciais de usuario doutra persoa.
A versión inicial do malware distribuíuse como un ficheiro executable que os programas antivirus detectaban facilmente. Para facer que AnarchyGrabber sexa máis difícil de detectar polos antivirus e aumentar a súa supervivencia, os desenvolvedores actualizaron a súa idea e agora cambia os ficheiros JavaScript utilizados polo cliente Discord para inxectar o seu código cada vez que se executa. Esta versión recibiu un nome moi orixinal AnarchyGrabber2 e, cando se lanzou, inxecta código malicioso no ficheiro "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Despois de executar AnarchyGrabber2, o código JavaScript modificado do subcartafol 4n4rchy aparecerá no ficheiro index.js, como se mostra a continuación.
Con estes cambios, tamén se cargarán ficheiros JavaScript maliciosos adicionais cando se inicie Discord. Agora, cando o usuario inicia sesión no messenger, os scripts usarán o webhook para enviar o token do usuario á canle do atacante.
O que fai que esta modificación do cliente Discord sexa un problema é que aínda que o antivirus detecte o executable de malware orixinal, os ficheiros do cliente xa se modificarán. Polo tanto, o código malicioso pode permanecer na máquina durante un tempo arbitrariamente longo e o usuario nin sequera sospeitará que a información da súa conta foi roubada.
Esta non é a primeira vez que o malware modifica os ficheiros do cliente de Discord. En outubro de 2019, tamén se informou de que outro malware modificaba os ficheiros do cliente, convertendo o cliente Discord nun troiano que roubaba información. Nese momento, a empresa desenvolvedora Discord afirmou que buscaría formas de solucionar esta vulnerabilidade, pero o problema, ao parecer, aínda non foi resolto.
Ata que Discord engada unha comprobación da integridade dos ficheiros do cliente ao inicio, as contas de Discord seguirán correndo o risco de sufrir un malware que faga cambios nos ficheiros dese mensaxeiro.
Fonte: 3dnews.ru