Versi baru malware AnarchyGrabber sebenarnya telah mengubah Discord (pesan instan gratis yang mendukung VoIP dan konferensi video) menjadi pencuri akun. Malware tersebut memodifikasi file klien Discord sedemikian rupa untuk mencuri akun pengguna saat masuk ke layanan Discord dan pada saat yang sama tetap tidak terlihat oleh antivirus.
Informasi tentang AnarchyGrabber beredar di forum hacker dan video YouTube. Premis aplikasi ini adalah ketika diluncurkan, malware mencuri token pengguna dari pengguna Discord yang terdaftar. Token ini kemudian diunggah kembali ke saluran Discord di bawah kendali penyerang, dan dapat digunakan untuk masuk dengan kredensial pengguna orang lain.
Versi asli malware tersebut didistribusikan sebagai file yang dapat dieksekusi yang mudah dideteksi oleh program antivirus. Untuk membuat AnarchyGrabber lebih sulit dideteksi oleh antivirus dan meningkatkan kemampuan bertahan, para pengembang telah memperbarui gagasan mereka sehingga sekarang mereka memodifikasi file JavaScript yang digunakan oleh klien Discord untuk memasukkan kodenya setiap kali diluncurkan. Versi ini menerima nama yang sangat asli AnarchyGrabber2 dan ketika diluncurkan, ia menyuntikkan kode berbahaya ke dalam file “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
Setelah menjalankan AnarchyGrabber2, kode JavaScript yang dimodifikasi dari subfolder 4n4rchy akan muncul di file index.js, seperti gambar di bawah ini.
Dengan perubahan ini, file JavaScript berbahaya tambahan akan diunduh saat Anda meluncurkan Discord. Sekarang, ketika pengguna masuk ke messenger, skrip akan menggunakan webhook untuk mengirim token pengguna ke saluran penyerang.
Apa yang membuat modifikasi klien Discord ini menjadi masalah adalah meskipun malware asli yang dapat dieksekusi terdeteksi oleh antivirus, file klien sudah dimodifikasi. Oleh karena itu, kode berbahaya dapat tetap berada di mesin selama yang diinginkan, dan pengguna bahkan tidak akan curiga bahwa data akunnya telah dicuri.
Ini bukan pertama kalinya malware memodifikasi file klien Discord. Pada bulan Oktober 2019, dilaporkan bahwa malware lain juga memodifikasi file klien, mengubah klien Discord menjadi Trojan pencuri informasi. Saat itu, pengembang Discord menyatakan akan mencari cara untuk memperbaiki kerentanan ini, namun tampaknya masalahnya belum teratasi.
Hingga Discord menambahkan pemeriksaan integritas file klien saat startup, akun Discord akan terus berisiko terkena malware yang membuat perubahan pada file messenger.
Sumber: 3dnews.ru