Nova verzija zlonamjernog softvera AnarchyGrabber zapravo je pretvorila Discord (besplatni instant messenger koji podržava VoIP i video konferencije) u lopova računa. Zlonamjerni softver modificira datoteke Discord klijenta na takav način da krade korisničke račune prilikom prijave na uslugu Discord i istovremeno ostaje nevidljiv za antiviruse.
Informacije o AnarchyGrabberu kruže na hakerskim forumima i YouTube videima. Pretpostavka aplikacije je da prilikom pokretanja zlonamjerni softver krade korisničke tokene registriranog korisnika Discorda. Ti se tokeni zatim učitavaju natrag na Discord kanal pod kontrolom napadača i mogu se koristiti za prijavu s tuđim korisničkim vjerodajnicama.
Izvorna verzija zlonamjernog softvera distribuirana je kao izvršna datoteka koju su antivirusni programi lako otkrili. Kako bi antivirusi učinili AnarchyGrabber težim za otkrivanje i povećali mogućnost preživljavanja, programeri su ažurirali svoju zamisao tako da sada modificira JavaScript datoteke koje koristi Discord klijent za ubacivanje svog koda svaki put kada se pokrene. Ova verzija dobila je vrlo originalan naziv AnarchyGrabber2 i kada se pokrene, ubacuje maliciozni kod u datoteku “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
Nakon pokretanja AnarchyGrabber2, modificirani JavaScript kod iz podmape 4n4rchy pojavit će se u datoteci index.js, kao što je prikazano u nastavku.
Uz ove promjene, dodatne zlonamjerne JavaScript datoteke bit će preuzete kada pokrenete Discord. Sada, kada se korisnik prijavi u Messenger, skripte će koristiti webhook za slanje korisničkog tokena na kanal napadača.
Ono što ovu modifikaciju Discord klijenta čini takvim problemom jest to što će antivirusni program otkriti izvornu izvršnu datoteku zlonamjernog softvera, klijentske datoteke već su modificirane. Dakle, zlonamjerni kod može ostati na stroju koliko god želite, a korisnik neće ni posumnjati da su mu podaci o računu ukradeni.
Ovo nije prvi put da zlonamjerni softver mijenja datoteke Discord klijenta. U listopadu 2019. objavljeno je da još jedan zlonamjerni softver također mijenja klijentske datoteke, pretvarajući Discord klijent u trojanca koji krade informacije. U to je vrijeme programer Discorda izjavio da će tražiti načine da popravi ovu ranjivost, ali problem očito još nije riješen.
Sve dok Discord ne doda provjere integriteta datoteka klijenta pri pokretanju, Discord računi će i dalje biti u opasnosti od zlonamjernog softvera koji mijenja datoteke glasnika.
Izvor: 3dnews.ru