Jaunā AnarchyGrabber ļaunprogrammatūras versija faktiski ir pārvērtusi Discord (bezmaksas tūlītējo ziņojumapmaiņas programmu, kas atbalsta VoIP un video konferences) par konta zagli. Ļaunprātīga programmatūra modificē Discord klientu failus tā, lai, piesakoties Discord servisā, nozagtu lietotāju kontus un tajā pašā laikā paliktu neredzami pretvīrusiem.
Informācija par AnarchyGrabber tiek izplatīta hakeru forumos un YouTube videoklipos. Lietojumprogrammas priekšnoteikums ir tāds, ka, palaižot to, ļaunprogrammatūra nozog reģistrēta Discord lietotāja lietotāja pilnvaras. Pēc tam šie marķieri tiek augšupielādēti atpakaļ Discord kanālā, ko kontrolē uzbrucējs, un tos var izmantot, lai pieteiktos ar kāda cita lietotāja akreditācijas datiem.
Sākotnējā ļaunprogrammatūras versija tika izplatīta kā izpildāms fails, ko pretvīrusu programmas viegli atklāja. Lai padarītu AnarchyGrabber grūtāk atpazīstamu ar pretvīrusu palīdzību un palielinātu izdzīvošanas spēju, izstrādātāji ir atjauninājuši savu ideju tā, ka tagad tas modificē JavaScript failus, ko izmanto Discord klients, lai ievadītu savu kodu katru reizi, kad tas tiek palaists. Šī versija saņēma ļoti oriģinālo nosaukumu AnarchyGrabber2, un, palaižot to, tā ievada ļaunprātīgu kodu failā “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
Pēc AnarchyGrabber2 palaišanas modificētais JavaScript kods no apakšmapes 4n4rchy tiks parādīts failā index.js, kā parādīts tālāk.
Izmantojot šīs izmaiņas, palaižot Discord, tiks lejupielādēti papildu ļaunprātīgi JavaScript faili. Tagad, kad lietotājs piesakās Messenger, skripti izmantos tīmekļa aizķeri, lai nosūtītu lietotāja pilnvaru uzbrucēja kanālam.
Šo Discord klienta modifikāciju par šādu problēmu padara tas, ka pat tad, ja antivīruss atklāj sākotnējo ļaunprogrammatūras izpildāmo failu, klienta faili jau būs modificēti. Tāpēc ļaunprātīgais kods var palikt uz mašīnas tik ilgi, cik vēlas, un lietotājam pat nebūs aizdomas, ka viņa konta dati ir nozagti.
Šī nav pirmā reize, kad ļaunprātīga programmatūra ir modificējusi Discord klienta failus. 2019. gada oktobrī tika ziņots, ka cita ļaunprogrammatūra arī pārveido klientu failus, pārvēršot Discord klientu par informāciju zagjošu Trojas zirgu. Tajā laikā Discord izstrādātājs paziņoja, ka meklēs veidus, kā novērst šo ievainojamību, taču problēma acīmredzot vēl nav atrisināta.
Kamēr Discord nepievienos klienta failu integritātes pārbaudes startēšanas laikā, Discord kontus turpinās apdraudēt ļaunprātīga programmatūra, kas veic izmaiņas ziņojumapmaiņas failos.
Avots: 3dnews.ru