Nowa wersja złośliwego oprogramowania AnarchyGrabber faktycznie zmieniła Discord (darmowy komunikator internetowy obsługujący VoIP i wideokonferencje) w złodzieja kont. Szkodnik modyfikuje pliki klienta Discord w taki sposób, aby kraść konta użytkowników podczas logowania się do serwisu Discord, pozostając jednocześnie niewidocznym dla programów antywirusowych.
Informacje o AnarchyGrabberze są rozpowszechniane na forach hakerskich i filmach na YouTube. Założeniem aplikacji jest to, że po uruchomieniu złośliwe oprogramowanie kradnie tokeny użytkownika zarejestrowanego użytkownika Discord. Tokeny te są następnie przesyłane z powrotem na kanał Discord pod kontrolą osoby atakującej i mogą zostać użyte do zalogowania się przy użyciu danych uwierzytelniających innej osoby.
Oryginalna wersja szkodliwego oprogramowania była dystrybuowana w postaci pliku wykonywalnego, który był łatwo wykrywany przez programy antywirusowe. Aby uczynić AnarchyGrabber trudniejszym do wykrycia przez programy antywirusowe i zwiększyć przeżywalność, programiści zaktualizowali swój pomysł, tak że modyfikuje teraz pliki JavaScript używane przez klienta Discord do wstrzykiwania kodu przy każdym uruchomieniu. Wersja ta otrzymała bardzo oryginalną nazwę AnarchyGrabber2 i po uruchomieniu wstrzykuje złośliwy kod do pliku „%AppData%Discord[wersja]modulesdiscord_desktop_coreindex.js”.
Po uruchomieniu AnarchyGrabber2 zmodyfikowany kod JavaScript z podfolderu 4n4rchy pojawi się w pliku Index.js, jak pokazano poniżej.
Dzięki tym zmianom po uruchomieniu Discorda zostaną pobrane dodatkowe złośliwe pliki JavaScript. Teraz, gdy użytkownik zaloguje się do komunikatora, skrypty użyją webhooka, aby wysłać token użytkownika na kanał atakującego.
Tym, co sprawia, że modyfikacja klienta Discord jest takim problemem, jest to, że nawet jeśli program antywirusowy wykryje oryginalny plik wykonywalny złośliwego oprogramowania, pliki klienta zostaną już zmodyfikowane. Dlatego złośliwy kod może pozostać na komputerze tak długo, jak tego chce, a użytkownik nawet nie będzie podejrzewał, że dane jego konta zostały skradzione.
To nie pierwszy raz, kiedy złośliwe oprogramowanie modyfikuje pliki klienta Discord. W październiku 2019 roku zgłoszono, że inny szkodliwy program również modyfikuje pliki klienta, zamieniając klienta Discord w trojana kradnącego informacje. Twórca Discorda oświadczył wówczas, że będzie szukał sposobów na naprawienie tej luki, ale najwyraźniej problem nie został jeszcze rozwiązany.
Dopóki Discord nie doda kontroli integralności plików klienta przy uruchomieniu, konta Discord będą nadal narażone na ryzyko ze strony złośliwego oprogramowania wprowadzającego zmiany w plikach komunikatora.
Źródło: 3dnews.ru