AnarchyGrabber malware ၏ဗားရှင်းအသစ်သည် Discord (VoIP နှင့် ဗီဒီယိုကွန်ဖရင့်ကို ပံ့ပိုးပေးသည့် အခမဲ့ instant messenger) ကို အကောင့်သူခိုးအဖြစ်သို့ ပြောင်းလဲပေးခဲ့သည်။ မဲလ်ဝဲသည် Discord ဝန်ဆောင်မှုသို့ ဝင်ရောက်သည့်အခါ အသုံးပြုသူအကောင့်များကို ခိုးယူရန် နည်းလမ်းဖြင့် Discord ဖောက်သည်ဖိုင်များကို မွမ်းမံပြင်ဆင်ပြီး တစ်ချိန်တည်းတွင် ဗိုင်းရပ်စ်ပိုးများကို မမြင်နိုင်ပေ။
AnarchyGrabber ၏ အချက်အလက်ကို ဟက်ကာဖိုရမ်များနှင့် YouTube ဗီဒီယိုများတွင် ဖြန့်ဝေလျက်ရှိသည်။ အက်ပလီကေးရှင်း၏အခြေခံအချက်မှာ စတင်လိုက်သောအခါတွင် Malware သည် မှတ်ပုံတင်ထားသော Discord အသုံးပြုသူ၏အသုံးပြုသူတိုကင်များကိုခိုးယူသွားခြင်းပင်ဖြစ်သည်။ ထို့နောက် အဆိုပါတိုကင်များကို တိုက်ခိုက်သူ၏ထိန်းချုပ်မှုအောက်တွင် Discord ချန်နယ်သို့ ပြန်လည်အပ်လုဒ်လုပ်ပြီး အခြားသူ၏အသုံးပြုသူအထောက်အထားများဖြင့် လော့ဂ်အင်လုပ်ရန်အတွက် အသုံးပြုနိုင်ပါသည်။
Malware ၏မူရင်းဗားရှင်းကို ဗိုင်းရပ်စ်နှိမ်နင်းရေးပရိုဂရမ်များမှ အလွယ်တကူရှာဖွေတွေ့ရှိနိုင်သော executable file တစ်ခုအဖြစ် ဖြန့်ဝေထားပါသည်။ AnarchyGrabber သည် Antiviruses များမှ ရှာဖွေတွေ့ရှိရန် ပိုမိုခက်ခဲစေရန်နှင့် ရှင်သန်နိုင်မှု တိုးလာစေရန် Developer များသည် ၎င်းတို့၏ ဦးနှောက်ကို အပ်ဒိတ်လုပ်ထားသောကြောင့် ယခုအခါ Discord client မှ ၎င်း၏ကုဒ်ကို ထိုးသွင်းသည့်အချိန်တိုင်းတွင် အသုံးပြုသည့် JavaScript ဖိုင်များကို မွမ်းမံပြင်ဆင်ပေးပါသည်။ ဤဗားရှင်းသည် မူလအမည် AnarchyGrabber2 ကို လက်ခံရရှိပြီး စတင်သောအခါတွင် ၎င်းသည် “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js” ဖိုင်ထဲသို့ အန္တရာယ်ရှိသောကုဒ်ကို ထိုးသွင်းပါသည်။
AnarchyGrabber2 ကို run ပြီးနောက်၊ 4n4rchy ဖိုင်တွဲခွဲမှ ပြုပြင်ထားသော JavaScript ကုဒ်သည် အောက်တွင်ပြထားသည့်အတိုင်း index.js ဖိုင်တွင် ပေါ်လာပါမည်။
ဤပြောင်းလဲမှုများဖြင့် Discord ကိုဖွင့်သောအခါတွင် နောက်ထပ် အန္တရာယ်ရှိသော JavaScript ဖိုင်များကို ဒေါင်းလုဒ်လုပ်ပါမည်။ ယခု၊ အသုံးပြုသူတစ်ဦးသည် messenger သို့ဝင်ရောက်သည့်အခါ၊ scripts များသည် user ၏ token ကို attacker ၏ channel သို့ပေးပို့ရန် webhook ကိုအသုံးပြုမည်ဖြစ်သည်။
Discord client ၏ဤမွမ်းမံပြင်ဆင်မှုမှာ ပြဿနာဖြစ်စေသည့်အချက်မှာ မူလ malware executable ကို antivirus မှတွေ့ရှိပါက၊ client ဖိုင်များကို ပြုပြင်ပြီးသားဖြစ်လိမ့်မည်။ ထို့ကြောင့်၊ အန္တရာယ်ရှိသောကုဒ်သည် အလိုရှိသရွေ့ စက်တွင် ရှိနေနိုင်ပြီး၊ သုံးစွဲသူသည် ၎င်း၏အကောင့်ဒေတာကို ခိုးယူခံရကြောင်း သံသယရှိမည်မဟုတ်ပေ။
Malware သည် Discord client ဖိုင်များကို ပြုပြင်မွမ်းမံခြင်းသည် ပထမဆုံးအကြိမ်မဟုတ်ပါ။ 2019 ခုနှစ် အောက်တိုဘာလတွင်၊ အခြားသော Malware အပိုင်းအစသည် Discord client ကို အချက်အလက်ခိုးယူသည့် Trojan အဖြစ်သို့ ပြောင်းလဲကာ client ဖိုင်များကို ပြုပြင်မွမ်းမံနေကြောင်း သတင်းရရှိပါသည်။ ထိုအချိန်တွင်၊ Discord developer မှ ၎င်းသည် ဤအားနည်းချက်ကို ဖြေရှင်းရန် နည်းလမ်းများကို ရှာဖွေနေမည်ဟု ပြောကြားခဲ့သော်လည်း ပြဿနာမှာ မပြေလည်သေးကြောင်း ထင်ရှားသည်။
Discord သည် စတင်ချိန်တွင် သုံးစွဲသူ၏ ဖိုင်ခိုင်မာမှုကို စစ်ဆေးမှုများ မထည့်မချင်း၊ Discord အကောင့်များသည် messenger ၏ဖိုင်များကို အပြောင်းအလဲဖြစ်စေသည့် မဲလ်ဝဲမှ အန္တရာယ်ရှိနေမည်ဖြစ်သည်။
source: 3dnews.ru