Den nye versjonen av AnarchyGrabber malware har faktisk gjort Discord (en gratis instant messenger med støtte for VoIP og videokonferanser) til en kontotyv. Skadevaren modifiserer Discord-klientfiler på en slik måte at den stjeler brukerkontoer når du logger på Discord-tjenesten og samtidig forblir usynlig for antivirus.
Informasjon om AnarchyGrabber spres på hackerfora og YouTube-videoer. Essensen av applikasjonen er at under lanseringen stjeler skadevaren brukertokenene til den registrerte Discord-brukeren. Disse tokenene blir deretter lastet opp tilbake til Discord-kanalen under angriperens kontroll, og kan brukes til å logge på med andres brukerlegitimasjon.
Den første versjonen av skadelig programvare ble distribuert som en kjørbar fil som lett ble oppdaget av antivirusprogrammer. For å gjøre AnarchyGrabber vanskeligere å oppdage av antivirus og øke overlevelsesevnen, har utviklerne oppdatert sin idé, og nå endrer den JavaScript-filene som brukes av Discord-klienten for å injisere koden hver gang den kjører. Denne versjonen fikk et veldig originalt navn AnarchyGrabber2 og, når den lanseres, injiserer den ondsinnet kode i filen "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Etter å ha kjørt AnarchyGrabber2, vil den endrede JavaScript-koden fra 4n4rchy-undermappen vises i index.js-filen, som vist nedenfor.
Med disse endringene vil ytterligere skadelige JavaScript-filer også lastes inn når Discord starter opp. Nå når brukeren logger på messengeren, vil skriptene bruke webhook for å sende brukerens token til angriperens kanal.
Det som gjør denne modifikasjonen av Discord-klienten til et slikt problem, er at selv om den originale kjørbare malware-filen oppdages av antiviruset, vil klientfilene allerede ha blitt endret. Derfor kan den ondsinnede koden forbli på maskinen i vilkårlig lang tid, og brukeren vil ikke engang mistenke at kontoinformasjonen hans er stjålet.
Dette er ikke første gang skadelig programvare har endret Discord-klientfiler. I oktober 2019 ble det også rapportert om en annen skadelig programvare som modifiserte klientfiler, og gjorde Discord-klienten om til en informasjonsstjelende trojaner. På det tidspunktet uttalte utviklerselskapet Discord at det ville se etter måter å fikse denne sårbarheten på, men problemet er tilsynelatende ikke løst ennå.
Inntil Discord legger til en klientfilintegritetssjekk ved oppstart, vil Discord-kontoer fortsette å være utsatt for skadelig programvare som gjør endringer i den messengerens filer.
Kilde: 3dnews.ru