Nauja AnarchyGrabber kenkėjiškos programos versija iš tikrųjų pavertė „Discord“ (nemokamą momentinių pranešimų programą, palaikančią VoIP ir vaizdo konferencijas) paskyros vagimi. Kenkėjiška programa modifikuoja „Discord“ kliento failus taip, kad prisijungus prie „Discord“ paslaugos pavogtų vartotojų paskyras ir tuo pačiu liktų nematoma antivirusinėms programoms.
Informacija apie AnarchyGrabber sklinda įsilaužėlių forumuose ir YouTube vaizdo įrašuose. Programos prielaida yra ta, kad paleidus kenkėjišką programą, ji pavagia registruoto „Discord“ vartotojo vartotojo žetonus. Tada šie žetonai įkeliami atgal į „Discord“ kanalą, kurį kontroliuoja užpuolikas, ir gali būti naudojami prisijungiant naudojant kieno nors kito vartotojo kredencialus.
Pradinė kenkėjiškos programos versija buvo platinama kaip vykdomasis failas, kurį lengvai aptikdavo antivirusinės programos. Kad „AnarchyGrabber“ būtų sunkiau aptikti antivirusinėmis programomis ir padidintų išgyvenamumą, kūrėjai atnaujino savo mintis, kad dabar modifikuotų „Discord“ kliento naudojamus „JavaScript“ failus, kad kiekvieną kartą paleidžiant būtų įvestas kodas. Ši versija gavo labai originalų pavadinimą AnarchyGrabber2 ir paleidus įterpia kenkėjišką kodą į failą „%AppData%Discord[version]modulesdiscord_desktop_coreindex.js“.
Paleidus AnarchyGrabber2, pakeistas JavaScript kodas iš 4n4rchy poaplankio bus rodomas faile index.js, kaip parodyta toliau.
Atlikus šiuos pakeitimus, paleidus Discord bus atsisiunčiami papildomi kenkėjiški „JavaScript“ failai. Dabar, kai vartotojas prisijungia prie „Messenger“, scenarijai naudos „webhook“, kad nusiųstų vartotojo prieigos raktą į užpuoliko kanalą.
Dėl šios „Discord“ kliento modifikacijos kyla tokia problema, kad net jei antivirusinė programa aptiks pradinę kenkėjiškos programos vykdomąją programą, kliento failai jau bus modifikuoti. Todėl kenkėjiškas kodas mašinoje gali išlikti tiek, kiek nori, o vartotojas net neįtars, kad buvo pavogti jo paskyros duomenys.
Tai ne pirmas kartas, kai kenkėjiška programa modifikuoja „Discord“ kliento failus. 2019 m. spalį buvo pranešta, kad kita kenkėjiška programa taip pat modifikavo klientų failus, paversdama „Discord“ klientą informaciją vagiančiu Trojos arkliu. Tuo metu „Discord“ kūrėjas pareiškė, kad ieškos būdų, kaip ištaisyti šią spragą, tačiau problema, matyt, dar neišspręsta.
Kol „Discord“ nepridės kliento failų vientisumo patikrų paleidžiant, „Discord“ paskyroms ir toliau kils pavojus dėl kenkėjiškų programų, kurios keičia „Messenger“ failus.
Šaltinis: 3dnews.ru