O nouă versiune a programului malware AnarchyGrabber a transformat de fapt Discord (un mesager instantaneu gratuit care acceptă VoIP și conferințe video) într-un hoț de conturi. Malware-ul modifică fișierele client Discord în așa fel încât să fure conturi de utilizator atunci când se conectează la serviciul Discord și, în același timp, să rămână invizibil pentru antivirusuri.
Informațiile despre AnarchyGrabber circulă pe forumurile hackerilor și videoclipurile YouTube. Premisa aplicației este că, atunci când este lansat, malware-ul fură jetoanele utilizatorului unui utilizator Discord înregistrat. Aceste jetoane sunt apoi încărcate înapoi pe canalul Discord sub controlul atacatorului și pot fi folosite pentru a vă conecta cu acreditările de utilizator ale altcuiva.
Versiunea originală a malware-ului a fost distribuită ca un fișier executabil care a fost ușor detectat de programele antivirus. Pentru a face AnarchyGrabber mai greu de detectat de către antivirusuri și pentru a crește capacitatea de supraviețuire, dezvoltatorii și-au actualizat ideea, astfel încât acum modifică fișierele JavaScript utilizate de clientul Discord pentru a-și injecta codul de fiecare dată când este lansat. Această versiune a primit numele foarte original AnarchyGrabber2 și, atunci când a fost lansată, injectează cod rău intenționat în fișierul „%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
După rularea AnarchyGrabber2, codul JavaScript modificat din subfolderul 4n4rchy va apărea în fișierul index.js, așa cum se arată mai jos.
Cu aceste modificări, fișierele JavaScript rău intenționate suplimentare vor fi descărcate atunci când lansați Discord. Acum, când un utilizator se conectează la messenger, scripturile vor folosi un webhook pentru a trimite token-ul utilizatorului către canalul atacatorului.
Ceea ce face ca această modificare a clientului Discord să fie o astfel de problemă este că, chiar dacă executabilul malware original este detectat de antivirus, fișierele client vor fi deja modificate. Prin urmare, codul rău intenționat poate rămâne pe aparat atâta timp cât se dorește, iar utilizatorul nici măcar nu va bănui că datele contului i-au fost furate.
Nu este prima dată când programele malware modifică fișierele client Discord. În octombrie 2019, a fost raportat că un alt program malware modifica și fișierele client, transformând clientul Discord într-un troian care fura informații. La acea vreme, dezvoltatorul Discord a declarat că ar căuta modalități de a remedia această vulnerabilitate, dar problema aparent nu a fost încă rezolvată.
Până când Discord adaugă verificări ale integrității fișierelor client la pornire, conturile Discord vor continua să fie expuse riscului de malware care aduce modificări fișierelor messenger.
Sursa: 3dnews.ru