AnarchyGrabber кесепеттүү программасынын жаңы версиясы чындыгында Discord'ту (VoIP жана видеоконференцияларды колдогон акысыз мессенджер) аккаунтту уурдаганга айлантты. Кесепеттүү программа Discord кардардын файлдарын Discord кызматына киргенде колдонуучунун каттоо эсептерин уурдап, ошол эле учурда антивирустарга көрүнбөй тургандай кылып өзгөртөт.
AnarchyGrabber тууралуу маалымат хакерлердин форумдарында жана YouTube видеолорунда тараган. Колдонмонун негизи - ишке киргенде, кесепеттүү программа катталган Discord колдонуучусунун колдонуучу энбелгилерин уурдайт. Андан кийин бул токендер чабуулчунун көзөмөлү астында кайра Discord каналына жүктөлөт жана аларды башка бирөөнүн колдонуучу эсептик дайындары менен кирүү үчүн колдонсо болот.
Кесепеттүү программанын түпнуска версиясы антивирустук программалар тарабынан оңой табыла турган аткарылуучу файл катары таратылган. AnarchyGrabberди антивирустар аркылуу аныктоону кыйындатуу жана тирүү калуу мүмкүнчүлүгүн жогорулатуу үчүн, иштеп чыгуучулар өздөрүнүн акылын жаңыртышты, ошентип ал Discord кардары колдонгон JavaScript файлдарын өзгөртүп, анын кодун ишке киргизген сайын киргизет. Бул версия AnarchyGrabber2 оригиналдуу аталышын алган жана ишке киргизилгенде “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js” файлына зыяндуу кодду киргизет.
AnarchyGrabber2 иштетилгенден кийин, 4n4rchy папкасынан өзгөртүлгөн JavaScript коду төмөндө көрсөтүлгөндөй index.js файлында пайда болот.
Бул өзгөртүүлөр менен, Discord иштетилгенде кошумча зыяндуу JavaScript файлдары жүктөлөт. Эми, колдонуучу мессенжерге киргенде, скрипттер чабуулчунун каналына колдонуучунун белгисин жөнөтүү үчүн вебхукту колдонушат.
Discord кардарынын бул модификациясын мындай көйгөй жараткан нерсе, антивирус тарабынан баштапкы зыяндуу программанын аткарылуучусу аныкталса да, кардар файлдары мурунтан эле өзгөртүлгөн. Демек, зыяндуу код машинада каалаганча кала берет жана колдонуучу анын аккаунтунун маалыматтары уурдалган деп шектенбейт.
Бул кесепеттүү программа Discord кардар файлдарын өзгөрткөн биринчи жолу эмес. 2019-жылдын октябрында дагы бир кесепеттүү программа кардарлардын файлдарын өзгөртүп, Discord кардарын маалымат уурдаган троянга айландырганы кабарланган. Ошол кезде Discord иштеп чыгуучусу бул алсыздыкты оңдоонун жолдорун издей турганын билдирген, бирок көйгөй али чечиле элек окшойт.
Discord башталганда кардар файлынын бүтүндүгүн текшерүүнү кошмайынча, Discord аккаунттары мессенжердин файлдарына өзгөртүүлөрдү киргизген кесепеттүү программанын коркунучунда кала берет.
Source: 3dnews.ru