AnarchyGrabber kötü amaçlı yazılımının yeni bir sürümü aslında Discord'u (VoIP ve video konferansı destekleyen ücretsiz bir anlık mesajlaşma programı) bir hesap hırsızına dönüştürdü. Kötü amaçlı yazılım, Discord istemci dosyalarını, Discord hizmetinde oturum açarken kullanıcı hesaplarını çalacak ve aynı zamanda antivirüslere görünmez kalacak şekilde değiştirir.
AnarchyGrabber hakkındaki bilgiler hacker forumlarında ve YouTube videolarında dolaşıyor. Uygulamanın temeli, kötü amaçlı yazılımın başlatıldığında kayıtlı bir Discord kullanıcısının kullanıcı jetonlarını çalmasıdır. Bu tokenlar daha sonra saldırganın kontrolü altında Discord kanalına geri yükleniyor ve başka birinin kullanıcı bilgileriyle giriş yapmak için kullanılabiliyor.
Kötü amaçlı yazılımın orijinal sürümü, antivirüs programları tarafından kolayca algılanabilen yürütülebilir bir dosya olarak dağıtıldı. AnarchyGrabber'ın antivirüsler tarafından tespit edilmesini zorlaştırmak ve hayatta kalma oranını artırmak için geliştiriciler, beyin çocuklarını güncellediler, böylece Discord istemcisi tarafından kullanılan JavaScript dosyalarını, her başlatıldığında kodunu enjekte edecek şekilde değiştiriyor. Bu sürüm, orijinal adı AnarchyGrabber2'dir ve başlatıldığında, "%AppData%Discord[version]modulesdiscord_desktop_coreindex.js" dosyasına kötü amaçlı kod enjekte eder.
AnarchyGrabber2'yi çalıştırdıktan sonra 4n4rchy alt klasöründeki değiştirilmiş JavaScript kodu, aşağıda gösterildiği gibi index.js dosyasında görünecektir.
Bu değişikliklerle birlikte Discord'u başlattığınızda ek kötü amaçlı JavaScript dosyaları indirilecek. Artık bir kullanıcı Messenger'da oturum açtığında, komut dosyaları kullanıcının belirtecini saldırganın kanalına göndermek için bir web kancası kullanacak.
Discord istemcisindeki bu değişikliği bu kadar sorun haline getiren şey, orijinal kötü amaçlı yazılımın yürütülebilir dosyası antivirüs tarafından algılansa bile istemci dosyalarının zaten değiştirilmiş olmasıdır. Dolayısıyla zararlı kod istenildiği kadar makinede kalabilir ve kullanıcı, hesap verilerinin çalındığından şüphelenmez bile.
Bu, kötü amaçlı yazılımın Discord istemci dosyalarını değiştirdiği ilk sefer değil. Ekim 2019'da, başka bir kötü amaçlı yazılımın da istemci dosyalarını değiştirerek Discord istemcisini bilgi çalan bir Truva atına dönüştürdüğü bildirildi. O dönemde Discord geliştiricisi bu güvenlik açığını düzeltmenin yollarını arayacağını ancak görünüşe göre sorunun henüz çözülmediğini belirtmişti.
Discord başlangıçta istemci dosya bütünlüğü kontrolleri ekleyene kadar Discord hesapları, mesajlaşma programının dosyalarında değişiklik yapan kötü amaçlı yazılımlara karşı risk altında olmaya devam edecektir.
Kaynak: 3dnews.ru