AnarchyGrabber マルウェアの新バージョンは、実際に Discord (VoIP とビデオ会議をサポートする無料のインスタント メッセンジャー) をアカウント窃盗者に変えました。 このマルウェアは、Discord サービスにログインするときにユーザー アカウントを盗み、同時にウイルス対策には認識されないように、Discord クライアント ファイルを変更します。
AnarchyGrabber に関する情報は、ハッカー フォーラムや YouTube ビデオで広まっています。 このアプリの前提は、マルウェアが起動されると、登録されている Discord ユーザーのユーザー トークンを盗むということです。 これらのトークンは攻撃者の制御下で Discord チャネルにアップロードされ、他の人のユーザー資格情報でログインするために使用される可能性があります。
このマルウェアの元のバージョンは実行可能ファイルとして配布され、ウイルス対策プログラムによって簡単に検出されました。 AnarchyGrabber をウイルス対策ソフトで検出しにくくし、生存可能性を高めるために、開発者は自らの発案を更新し、Discord クライアントが起動するたびにコードを挿入するために、Discord クライアントが使用する JavaScript ファイルを変更するようになりました。 このバージョンには、非常にオリジナルの名前 AnarchyGrabber2 が付けられており、起動すると、ファイル「%AppData%Discord[version]modulesdiscord_desktop_coreindex.js」に悪意のあるコードが挿入されます。
AnarchyGrabber2 を実行すると、以下に示すように、4n4rchy サブフォルダーからの変更された JavaScript コードがindex.js ファイルに表示されます。
これらの変更により、Discord の起動時に追加の悪意のある JavaScript ファイルがダウンロードされるようになります。 ユーザーがメッセンジャーにログインすると、スクリプトは Webhook を使用してユーザーのトークンを攻撃者のチャネルに送信します。
Discord クライアントのこの変更がこれほど問題となるのは、たとえ元のマルウェア実行可能ファイルがウイルス対策ソフトによって検出されたとしても、クライアント ファイルはすでに変更されているということです。 したがって、悪意のあるコードは望む限りマシン上に残る可能性があり、ユーザーは自分のアカウント データが盗まれたことを疑うことさえありません。
マルウェアが Discord クライアント ファイルを変更したのはこれが初めてではありません。 2019 年 XNUMX 月には、別のマルウェアもクライアント ファイルを変更し、Discord クライアントを情報を盗むトロイの木馬に変えていたと報告されました。 当時、Discordの開発者はこの脆弱性を修正する方法を模索していると述べたが、問題はまだ解決されていないようだ。
Discord が起動時にクライアント ファイルの整合性チェックを追加するまで、Discord アカウントはメッセンジャーのファイルに変更を加えるマルウェアの危険にさらされ続けます。
出所: 3dnews.ru