Nová verzia malvéru AnarchyGrabber v skutočnosti zmenila Discord (bezplatný messenger s podporou VoIP a videokonferencií) na zlodeja účtov. Malvér upravuje súbory klienta Discord tak, aby pri prihlásení do služby Discord ukradol používateľské účty a zároveň zostal neviditeľný pre antivírusy.
Informácie o AnarchyGrabber sa šíria na fórach hackerov a videách na YouTube. Podstatou aplikácie je, že počas spustenia malvér ukradne užívateľské tokeny registrovaného užívateľa Discordu. Tieto tokeny sa potom nahrajú späť do kanála Discord pod kontrolou útočníka a možno ich použiť na prihlásenie pomocou používateľských poverení niekoho iného.
Počiatočná verzia malvéru bola distribuovaná ako spustiteľný súbor, ktorý antivírusové programy ľahko rozpoznali. Aby bol AnarchyGrabber ťažšie detekovateľný antivírusmi a zvýšil sa prežitie, vývojári aktualizovali svoje duchovné dieťa a teraz menia súbory JavaScriptu, ktoré klient Discord používa na vloženie kódu pri každom spustení. Táto verzia dostala veľmi originálny názov AnarchyGrabber2 a po spustení vstrekuje škodlivý kód do súboru „%AppData%Discord[version]modulesdiscord_desktop_coreindex.js“.
Po spustení AnarchyGrabber2 sa upravený kód JavaScript z podpriečinka 4n4rchy objaví v súbore index.js, ako je uvedené nižšie.
Vďaka týmto zmenám sa pri spustení Discordu načítajú aj ďalšie škodlivé súbory JavaScript. Teraz, keď sa používateľ prihlási do messengeru, skripty použijú webhook na odoslanie tokenu používateľa do kanála útočníka.
Čo robí túto úpravu klienta Discord takým problémom, je to, že aj keď antivírus deteguje pôvodný spustiteľný malvér, súbory klienta už budú upravené. Škodlivý kód teda môže zostať na stroji ľubovoľne dlho a používateľ ani nebude mať podozrenie, že informácie o jeho účte boli odcudzené.
Toto nie je prvýkrát, čo malvér upravil súbory klienta Discord. V októbri 2019 bol tiež hlásený ďalší malvér, ktorý upravuje klientske súbory a mení klienta Discord na trójskeho koňa, ktorý kradne informácie. Vývojárska spoločnosť Discord v tom čase uviedla, že bude hľadať spôsoby, ako túto zraniteľnosť opraviť, ale problém zrejme ešte nie je vyriešený.
Kým Discord nepridá kontrolu integrity súboru klienta pri spustení, účty Discord budú naďalej ohrozené malvérom, ktorý vykoná zmeny v súboroch tohto messengeru.
Zdroj: 3dnews.ru