Nova različica zlonamerne programske opreme AnarchyGrabber je Discord (brezplačni program za neposredno sporočanje, ki podpira VoIP in videokonference) dejansko spremenila v tatu računa. Zlonamerna programska oprema spremeni odjemalske datoteke Discord na način, da ukrade uporabniške račune ob prijavi v storitev Discord in hkrati ostane nevidna protivirusnim programom.
Informacije o AnarchyGrabber se širijo po hekerskih forumih in videoposnetkih na YouTubu. Predpostavka aplikacije je, da ob zagonu zlonamerna programska oprema ukrade uporabniške žetone registriranega uporabnika Discord. Ti žetoni se nato naložijo nazaj na kanal Discord pod nadzorom napadalca in se lahko uporabijo za prijavo z uporabniškimi poverilnicami nekoga drugega.
Prvotna različica zlonamerne programske opreme je bila distribuirana kot izvršljiva datoteka, ki so jo protivirusni programi zlahka zaznali. Da bi AnarchyGrabber težje zaznali protivirusni programi in povečali preživetje, so razvijalci posodobili svojo zamisel, tako da zdaj spreminja datoteke JavaScript, ki jih uporablja odjemalec Discord, da vbrizga svojo kodo vsakič, ko se zažene. Ta različica je dobila zelo izvirno ime AnarchyGrabber2 in ob zagonu vstavi zlonamerno kodo v datoteko »%AppData%Discord[version]modulesdiscord_desktop_coreindex.js«.
Po zagonu AnarchyGrabber2 se bo spremenjena koda JavaScript iz podmape 4n4rchy pojavila v datoteki index.js, kot je prikazano spodaj.
S temi spremembami bodo ob zagonu Discorda prenesene dodatne zlonamerne datoteke JavaScript. Zdaj, ko se uporabnik prijavi v Messenger, bodo skripti uporabili webhook za pošiljanje žetona uporabnika na kanal napadalca.
Zaradi tega spreminjanja odjemalca Discord je tako velik problem, da so odjemalske datoteke že spremenjene, tudi če protivirusni program zazna prvotno izvršljivo datoteko zlonamerne programske opreme. Zato lahko zlonamerna koda ostane na stroju poljubno dolgo, uporabnik pa ne bo niti posumil, da so bili podatki njegovega računa ukradeni.
To ni prvič, da je zlonamerna programska oprema spremenila datoteke odjemalca Discord. Oktobra 2019 so poročali, da druga zlonamerna programska oprema prav tako spreminja odjemalske datoteke in spreminja odjemalca Discord v trojanca, ki krade informacije. Takrat je razvijalec Discord izjavil, da bo iskal načine za odpravo te ranljivosti, vendar težava očitno še ni rešena.
Dokler Discord ob zagonu ne doda preverjanja celovitosti datotek odjemalca, bodo računi Discord še naprej ogroženi zaradi zlonamerne programske opreme, ki spreminja datoteke messengerja.
Vir: 3dnews.ru