Az AnarchyGrabber rosszindulatú program új verziója a Discord-ot (a VoIP-t és a videokonferenciát támogató ingyenes azonnali üzenetküldő) ténylegesen fióktolvajlá változtatta. A rosszindulatú program úgy módosítja a Discord kliens fájljait, hogy a Discord szolgáltatásba való bejelentkezéskor ellopja a felhasználói fiókokat, és ugyanakkor láthatatlan marad a vírusirtó számára.
Az AnarchyGrabberrel kapcsolatos információkat hackerfórumokon és YouTube-videókon terjesztik. Az alkalmazás előfeltétele, hogy elindításakor a rosszindulatú program ellopja egy regisztrált Discord-felhasználó felhasználói tokenjeit. Ezek a tokenek ezután a támadó irányítása alatt visszakerülnek a Discord csatornára, és felhasználhatók valaki más felhasználói hitelesítő adataival való bejelentkezéshez.
A kártevő eredeti verzióját futtatható fájlként terjesztették, amelyet a vírusirtó programok könnyen észleltek. Annak érdekében, hogy az AnarchyGrabber vírusirtókkal nehezebb legyen észlelni, és növeljék a túlélést, a fejlesztők úgy frissítették ötleteiket, hogy mostantól módosítják a Discord kliens által használt JavaScript fájlokat, hogy minden indításkor beillesszék a kódját. Ez a verzió az eredeti AnarchyGrabber2 nevet kapta, és elindításakor rosszindulatú kódot fecskendez be a „%AppData%Discord[version]modulesdiscord_desktop_coreindex.js” fájlba.
Az AnarchyGrabber2 futtatása után a 4n4rchy almappából származó módosított JavaScript-kód megjelenik az index.js fájlban, az alábbiak szerint.
Ezekkel a változtatásokkal a Discord elindításakor további rosszindulatú JavaScript-fájlok kerülnek letöltésre. Mostantól, amikor a felhasználó bejelentkezik a Messengerbe, a szkriptek egy webhook segítségével küldik el a felhasználó tokenjét a támadó csatornájára.
A Discord kliens ezen módosítását az teszi ilyen problémássá, hogy még ha a vírusirtó észleli is az eredeti rosszindulatú program futtatható fájlját, a kliens fájlok már módosultak. Ezért a rosszindulatú kód ameddig csak kívánja, a gépen maradhat, és a felhasználó nem is gyanítja, hogy fiókadatait ellopták.
Nem ez az első alkalom, hogy a rosszindulatú programok módosítják a Discord kliens fájljait. 2019 októberében arról számoltak be, hogy egy másik rosszindulatú program is módosítja az ügyfélfájlokat, és a Discord klienst információlopó trójaivá változtatta. Akkoriban a Discord fejlesztője kijelentette, hogy keresni fogja a sérülékenység kijavításának módját, de a probléma láthatóan még nem oldódott meg.
Amíg a Discord nem ad hozzá az ügyfélfájl integritásának ellenőrzését az indításkor, a Discord-fiókokat továbbra is fenyegeti a rosszindulatú programok, amelyek módosítják az üzenetküldő fájljait.
Forrás: 3dnews.ru