AnarchyGrabber зиянды бағдарламасының жаңа нұсқасы шын мәнінде Discord-ты (VoIP және бейнеконференцияларды қолдайтын тегін жедел хабар алмасу құралы) есептік жазбаны ұрлаушыға айналдырды. Зиянды бағдарлама Discord клиентінің файлдарын Discord қызметіне кіру кезінде пайдаланушы тіркелгілерін ұрлайтындай етіп өзгертеді және сонымен бірге антивирустарға көрінбейтін болып қалады.
AnarchyGrabber туралы ақпарат хакерлер форумдары мен YouTube бейнелерінде таратылуда. Қолданбаның негізгі мақсаты - іске қосылған кезде зиянды бағдарлама тіркелген Discord пайдаланушысының пайдаланушы токендерін ұрлайды. Содан кейін бұл таңбалауыштар шабуылдаушының бақылауымен Discord арнасына кері жүктеледі және оларды басқа біреудің пайдаланушы тіркелгі деректерімен кіру үшін пайдалануға болады.
Зиянды бағдарламаның бастапқы нұсқасы антивирустық бағдарламалар арқылы оңай анықталатын орындалатын файл ретінде таратылды. AnarchyGrabber-ді антивирустар арқылы анықтауды қиындатып, өмір сүру мүмкіндігін арттыру үшін әзірлеушілер өздерінің миын жаңартты, осылайша ол енді Discord клиенті іске қосылған сайын кодын енгізу үшін пайдаланатын JavaScript файлдарын өзгертеді. Бұл нұсқа AnarchyGrabber2 өте түпнұсқа атауын алды және іске қосылған кезде ол зиянды кодты “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js” файлына енгізеді.
AnarchyGrabber2 іске қосылғаннан кейін 4n4rchy ішкі қалтасындағы өзгертілген JavaScript коды төменде көрсетілгендей index.js файлында пайда болады.
Осы өзгерістермен Discord іске қосылған кезде қосымша зиянды JavaScript файлдары жүктеледі. Енді пайдаланушы мессенджерге кірген кезде, сценарийлер пайдаланушының таңбалауышын шабуылдаушы арнасына жіберу үшін вебхукты пайдаланады.
Discord клиентінің бұл модификациясын осындай проблемаға айналдыратын нәрсе, егер бастапқы зиянды бағдарлама орындалатын файл антивирус арқылы анықталса да, клиент файлдары әлдеқашан өзгертілген болады. Сондықтан зиянды код құрылғыда қалағанша қалуы мүмкін және пайдаланушы оның тіркелгі деректерінің ұрланғанына күдіктенбейді.
Бұл зиянды бағдарламаның Discord клиенттік файлдарын өзгерткен бірінші рет емес. 2019 жылдың қазан айында тағы бір зиянды бағдарламаның клиенттік файлдарды өзгертіп, Discord клиентін ақпаратты ұрлайтын троянға айналдырғаны туралы хабарланды. Сол кезде Discord әзірлеушісі бұл осалдықты түзету жолдарын іздейтінін мәлімдеді, бірақ мәселе әлі шешілмеген сияқты.
Discord іске қосу кезінде клиент файлдарының тұтастығын тексеруді қоспайынша, Discord тіркелгілері хабаршы файлдарына өзгерістер енгізетін зиянды бағдарлама қаупіне ұшырайды.
Ақпарат көзі: 3dnews.ru