Uma nova versão do malware AnarchyGrabber transformou o Discord (um mensageiro instantâneo gratuito que suporta VoIP e videoconferência) em um ladrão de contas. O malware modifica os arquivos do cliente Discord de forma a roubar contas de usuários ao fazer login no serviço Discord e ao mesmo tempo permanecer invisível aos antivírus.
Informações sobre o AnarchyGrabber estão circulando em fóruns de hackers e vídeos do YouTube. A premissa do aplicativo é que, quando iniciado, o malware roube os tokens de um usuário registrado do Discord. Esses tokens são então carregados de volta para o canal Discord sob o controle do invasor e podem ser usados para fazer login com as credenciais de usuário de outra pessoa.
A versão original do malware foi distribuída como um arquivo executável facilmente detectado por programas antivírus. Para tornar o AnarchyGrabber mais difícil de ser detectado por antivírus e aumentar a capacidade de sobrevivência, os desenvolvedores atualizaram sua ideia para que agora modifique os arquivos JavaScript usados pelo cliente Discord para injetar seu código sempre que for iniciado. Esta versão recebeu o nome original AnarchyGrabber2 e quando lançada injeta código malicioso no arquivo “%AppData%Discord[versão]modulesdiscord_desktop_coreindex.js”.
Após executar o AnarchyGrabber2, o código JavaScript modificado da subpasta 4n4rchy aparecerá no arquivo index.js, conforme mostrado abaixo.
Com essas alterações, arquivos JavaScript maliciosos adicionais serão baixados quando você iniciar o Discord. Agora, quando um usuário fizer login no messenger, os scripts usarão um webhook para enviar o token do usuário ao canal do invasor.
O que torna esta modificação do cliente Discord um problema é que mesmo que o executável do malware original seja detectado pelo antivírus, os arquivos do cliente já terão sido modificados. Portanto, códigos maliciosos podem permanecer na máquina pelo tempo que desejar, e o usuário nem suspeitará que os dados de sua conta foram roubados.
Esta não é a primeira vez que o malware modifica os arquivos do cliente Discord. Em outubro de 2019, foi relatado que outro malware também estava modificando os arquivos do cliente, transformando o cliente Discord em um Trojan que rouba informações. Na época, o desenvolvedor do Discord afirmou que estaria buscando formas de corrigir essa vulnerabilidade, mas aparentemente o problema ainda não foi resolvido.
Até que o Discord adicione verificações de integridade de arquivos do cliente na inicialização, as contas do Discord continuarão sob risco de malware que faz alterações nos arquivos do mensageiro.
Fonte: 3dnews.ru