Een nieuwe versie van de AnarchyGrabber-malware heeft Discord (een gratis instant messenger die VoIP en videoconferenties ondersteunt) feitelijk in een accountdief veranderd. De malware wijzigt Discord-clientbestanden zodanig dat gebruikersaccounts worden gestolen bij het inloggen op de Discord-service en tegelijkertijd onzichtbaar blijven voor antivirusprogramma's.
Informatie over AnarchyGrabber wordt verspreid op hackerforums en YouTube-video's. Het uitgangspunt van de app is dat de malware bij het starten de gebruikerstokens van een geregistreerde Discord-gebruiker steelt. Deze tokens worden vervolgens onder controle van de aanvaller terug geüpload naar het Discord-kanaal en kunnen worden gebruikt om in te loggen met de gebruikersgegevens van iemand anders.
De originele versie van de malware werd verspreid als een uitvoerbaar bestand dat gemakkelijk door antivirusprogramma's kon worden gedetecteerd. Om AnarchyGrabber moeilijker te detecteren door antivirussen en de overlevingskansen te vergroten, hebben de ontwikkelaars hun geesteskind bijgewerkt, zodat het nu de JavaScript-bestanden aanpast die door de Discord-client worden gebruikt om de code te injecteren elke keer dat deze wordt gestart. Deze versie kreeg de zeer originele naam AnarchyGrabber2 en wanneer deze wordt gelanceerd, injecteert deze kwaadaardige code in het bestand “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
Na het uitvoeren van AnarchyGrabber2 zal de gewijzigde JavaScript-code uit de 4n4rchy-submap verschijnen in het index.js-bestand, zoals hieronder weergegeven.
Met deze wijzigingen worden extra kwaadaardige JavaScript-bestanden gedownload wanneer u Discord start. Wanneer een gebruiker zich nu aanmeldt bij Messenger, gebruiken de scripts een webhook om het token van de gebruiker naar het kanaal van de aanvaller te sturen.
Wat deze wijziging van de Discord-client zo'n probleem maakt, is dat zelfs als het oorspronkelijke uitvoerbare malwareprogramma door de antivirus wordt gedetecteerd, de clientbestanden al zijn gewijzigd. Hierdoor kan kwaadaardige code zo lang als gewenst op de machine blijven staan en zal de gebruiker niet eens vermoeden dat zijn accountgegevens zijn gestolen.
Dit is niet de eerste keer dat malware Discord-clientbestanden heeft gewijzigd. In oktober 2019 werd gemeld dat een ander stuk malware ook clientbestanden aan het wijzigen was, waardoor de Discord-client in een informatiestelende Trojan veranderde. De Discord-ontwikkelaar gaf destijds aan te zoeken naar manieren om deze kwetsbaarheid te verhelpen, maar het probleem is blijkbaar nog niet opgelost.
Totdat Discord integriteitscontroles voor clientbestanden toevoegt bij het opstarten, blijven Discord-accounts het risico lopen van malware die wijzigingen aanbrengt in de bestanden van de messenger.
Bron: 3dnews.ru