Një version i ri i malware AnarchyGrabber e ka kthyer në fakt Discord (një lajmëtar i çastit falas që mbështet VoIP dhe videokonferenca) në një hajdut llogarish. Malware modifikon skedarët e klientit Discord në atë mënyrë që të vjedhë llogaritë e përdoruesve kur hyni në shërbimin Discord dhe në të njëjtën kohë të mbetet i padukshëm për antiviruset.
Informacioni rreth AnarchyGrabber po qarkullon në forumet e hakerëve dhe videot në YouTube. Premisa e aplikacionit është që kur lëshohet, malware vjedh shenjat e përdoruesit të një përdoruesi të regjistruar Discord. Këto token ngarkohen më pas në kanalin Discord nën kontrollin e sulmuesit dhe mund të përdoren për t'u identifikuar me kredencialet e përdoruesit të dikujt tjetër.
Versioni origjinal i malware u shpërnda si një skedar i ekzekutueshëm që zbulohej lehtësisht nga programet antivirus. Për ta bërë AnarchyGrabber më të vështirë për t'u zbuluar nga antiviruset dhe për të rritur mbijetesën, zhvilluesit kanë përditësuar idenë e tyre në mënyrë që ai tani të modifikojë skedarët JavaScript të përdorura nga klienti Discord për të injektuar kodin e tij sa herë që lëshohet. Ky version mori emrin shumë origjinal AnarchyGrabber2 dhe kur lansohet, ai injekton kod me qëllim të keq në skedarin "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Pas ekzekutimit të AnarchyGrabber2, kodi i modifikuar JavaScript nga nëndosja 4n4rchy do të shfaqet në skedarin index.js, siç tregohet më poshtë.
Me këto ndryshime, skedarët shtesë me qëllim të keq JavaScript do të shkarkohen kur të hapni Discord. Tani, kur një përdorues regjistrohet në messenger, skriptet do të përdorin një uebhook për të dërguar shenjën e përdoruesit në kanalin e sulmuesit.
Ajo që e bën këtë modifikim të klientit Discord një problem të tillë është se edhe nëse ekzekutuesi origjinal malware zbulohet nga antivirusi, skedarët e klientit tashmë do të jenë modifikuar. Prandaj, kodi me qëllim të keq mund të qëndrojë në makinë për aq kohë sa dëshiron, dhe përdoruesi as nuk do të dyshojë se të dhënat e llogarisë së tij janë vjedhur.
Kjo nuk është hera e parë që malware modifikon skedarët e klientit Discord. Në tetor 2019, u raportua se një tjetër pjesë e malware po modifikonte gjithashtu skedarët e klientit, duke e kthyer klientin Discord në një Trojan që vjedh informacion. Në atë kohë, zhvilluesi i Discord deklaroi se do të kërkonte mënyra për të rregulluar këtë dobësi, por problemi me sa duket nuk është zgjidhur ende.
Derisa Discord të shtojë kontrollet e integritetit të skedarëve të klientit gjatë nisjes, llogaritë e Discord do të vazhdojnë të jenë në rrezik nga malware që bëjnë ndryshime në skedarët e mesazherit.
Burimi: 3dnews.ru