Ang isang bagong bersyon ng AnarchyGrabber malware ay aktwal na ginawang isang magnanakaw ng account ang Discord (isang libreng instant messenger na sumusuporta sa VoIP at video conferencing). Binabago ng malware ang mga file ng kliyente ng Discord sa paraang magnakaw ng mga user account kapag nagla-log in sa serbisyo ng Discord at sa parehong oras ay nananatiling hindi nakikita ng mga antivirus.
Ang impormasyon tungkol sa AnarchyGrabber ay ipinakalat sa mga forum ng hacker at mga video sa YouTube. Ang saligan ng app ay kapag inilunsad, ninanakaw ng malware ang mga token ng user ng isang rehistradong user ng Discord. Ang mga token na ito ay ina-upload pabalik sa Discord channel sa ilalim ng kontrol ng umaatake, at maaaring magamit upang mag-log in gamit ang mga kredensyal ng user ng ibang tao.
Ang orihinal na bersyon ng malware ay ipinamahagi bilang isang executable na file na madaling natukoy ng mga antivirus program. Upang gawing mas mahirap ma-detect ng mga antivirus ang AnarchyGrabber at mapataas ang survivability, in-update ng mga developer ang kanilang brainchild para mabago nito ngayon ang mga JavaScript file na ginagamit ng Discord client para mag-inject ng code nito sa tuwing ilulunsad ito. Nakatanggap ang bersyon na ito ng napaka orihinal na pangalan na AnarchyGrabber2 at kapag inilunsad, nag-inject ito ng malisyosong code sa file na "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js".
Pagkatapos patakbuhin ang AnarchyGrabber2, ang binagong JavaScript code mula sa 4n4rchy subfolder ay lalabas sa index.js file, tulad ng ipinapakita sa ibaba.
Sa mga pagbabagong ito, mada-download ang mga karagdagang nakakahamak na JavaScript file kapag inilunsad mo ang Discord. Ngayon, kapag nag-log in ang isang user sa messenger, gagamit ang mga script ng webhook upang ipadala ang token ng user sa channel ng umaatake.
Ang dahilan kung bakit ang pagbabagong ito ng Discord client ay isang problema ay kahit na ang orihinal na malware executable ay nakita ng antivirus, ang mga file ng kliyente ay nabago na. Samakatuwid, ang malisyosong code ay maaaring manatili sa makina hangga't ninanais, at ang user ay hindi maghihinala na ang data ng kanyang account ay ninakaw.
Hindi ito ang unang pagkakataon na binago ng malware ang mga file ng Discord client. Noong Oktubre 2019, iniulat na binago din ng isa pang piraso ng malware ang mga file ng kliyente, na ginagawang isang Trojan na nagnanakaw ng impormasyon ang Discord client. Noong panahong iyon, sinabi ng developer ng Discord na maghahanap ito ng mga paraan upang ayusin ang kahinaan na ito, ngunit ang problema ay tila hindi pa nareresolba.
Hanggang sa idagdag ng Discord ang mga pagsusuri sa integridad ng file ng kliyente sa pagsisimula, ang mga Discord account ay patuloy na nasa panganib mula sa malware na gumagawa ng mga pagbabago sa mga file ng messenger.
Pinagmulan: 3dnews.ru