En ny version av skadlig programvara AnarchyGrabber har faktiskt förvandlat Discord (en gratis instant messenger som stöder VoIP och videokonferenser) till en kontotjuv. Skadlig programvara modifierar Discord-klientfiler på ett sådant sätt att de stjäl användarkonton när du loggar in på Discord-tjänsten och samtidigt förblir osynliga för antivirus.
Information om AnarchyGrabber cirkuleras på hackerforum och YouTube-videor. Utgångspunkten för appen är att skadlig programvara stjäl användarsymbolerna för en registrerad Discord-användare när den startas. Dessa tokens laddas sedan upp tillbaka till Discord-kanalen under kontroll av angriparen och kan användas för att logga in med någon annans användaruppgifter.
Den ursprungliga versionen av skadlig programvara distribuerades som en körbar fil som lätt kunde upptäckas av antivirusprogram. För att göra AnarchyGrabber svårare att upptäcka av antivirus och öka överlevnadsförmågan har utvecklarna uppdaterat sin idé så att den nu modifierar JavaScript-filerna som används av Discord-klienten för att injicera dess kod varje gång den lanseras. Den här versionen fick det mycket ursprungliga namnet AnarchyGrabber2 och när den lanseras injicerar den skadlig kod i filen "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Efter att ha kört AnarchyGrabber2 kommer den modifierade JavaScript-koden från undermappen 4n4rchy att visas i filen index.js, som visas nedan.
Med dessa ändringar kommer ytterligare skadliga JavaScript-filer att laddas ner när du startar Discord. Nu, när en användare loggar in på messenger, kommer skripten att använda en webhook för att skicka användarens token till angriparens kanal.
Det som gör denna modifiering av Discord-klienten till ett sådant problem är att även om den ursprungliga körbara skadliga programvaran upptäcks av antiviruset, kommer klientfilerna redan att ha modifierats. Därför kan skadlig kod finnas kvar på maskinen så länge som önskas, och användaren kommer inte ens att misstänka att hans kontodata har stulits.
Detta är inte första gången som skadlig programvara har modifierat Discord-klientfiler. I oktober 2019 rapporterades det att en annan del av skadlig programvara också modifierade klientfiler och förvandlade Discord-klienten till en informationsstjälande trojan. Då uppgav Discord-utvecklaren att den skulle leta efter sätt att åtgärda denna sårbarhet, men problemet har tydligen inte lösts ännu.
Tills Discord lägger till integritetskontroller för klientfiler vid start, kommer Discord-konton att fortsätta att vara i riskzonen för skadlig programvara som gör ändringar i budbärarens filer.
Källa: 3dnews.ru