Una nuova versione del malware AnarchyGrabber ha effettivamente trasformato Discord (un servizio di messaggistica istantanea gratuito che supporta VoIP e videoconferenze) in un ladro di account. Il malware modifica i file del client Discord in modo tale da rubare gli account degli utenti quando accedono al servizio Discord e allo stesso tempo rimanere invisibile agli antivirus.
Le informazioni su AnarchyGrabber circolano sui forum degli hacker e sui video di YouTube. La premessa dell'app è che, una volta avviato, il malware ruba i token utente di un utente Discord registrato. Questi token vengono quindi caricati nuovamente sul canale Discord sotto il controllo dell'aggressore e possono essere utilizzati per accedere con le credenziali utente di qualcun altro.
La versione originale del malware veniva distribuita come file eseguibile facilmente rilevabile dai programmi antivirus. Per rendere AnarchyGrabber più difficile da rilevare da parte degli antivirus e aumentare la sopravvivenza, gli sviluppatori hanno aggiornato la loro idea in modo che ora modifichi i file JavaScript utilizzati dal client Discord per iniettare il suo codice ogni volta che viene avviato. Questa versione ha ricevuto il nome molto originale AnarchyGrabber2 e una volta avviata inietta codice dannoso nel file "%AppData%Discord[versione]modulesdiscord_desktop_coreindex.js".
Dopo aver eseguito AnarchyGrabber2, il codice JavaScript modificato dalla sottocartella 4n4rchy apparirà nel file index.js, come mostrato di seguito.
Con queste modifiche, all'avvio di Discord verranno scaricati ulteriori file JavaScript dannosi. Ora, quando un utente accede a Messenger, gli script utilizzeranno un webhook per inviare il token dell'utente al canale dell'aggressore.
Ciò che rende questa modifica del client Discord un tale problema è che anche se l'antivirus rileva l'eseguibile originale del malware, i file del client saranno già stati modificati. Pertanto, il codice dannoso può rimanere sulla macchina per tutto il tempo desiderato e l'utente non sospetterà nemmeno che i dati del suo account siano stati rubati.
Questa non è la prima volta che un malware modifica i file del client Discord. Nell'ottobre 2019, è stato riferito che un altro malware stava modificando anche i file del client, trasformando il client Discord in un trojan che rubava informazioni. All'epoca, lo sviluppatore Discord aveva dichiarato che sarebbe stato alla ricerca di modi per risolvere questa vulnerabilità, ma a quanto pare il problema non è stato ancora risolto.
Fino a quando Discord non aggiungerà i controlli di integrità dei file client all'avvio, gli account Discord continueranno a essere a rischio di malware che apporta modifiche ai file di messaggistica.
Fonte: 3dnews.ru