Нова версія шкідливого ПЗ AnarchyGrabber фактично перетворила Discord (безкоштовний месенджер з підтримкою VoIP та відеоконференцій) на викрадача акаунтів. Малвар змінює клієнтські файли Discord так, щоб викрадати облікові записи користувачів при вході в сервіс Discord і залишатися непомітною для антивірусів.
Інформація про AnarchyGrabber поширюється на форумах хакерів та у відеороликах на YouTube. Суть програми полягає в тому, що під час запуску шкідливе програмне забезпечення краде користувацькі токени зареєстрованого користувача Discord. Ці токени потім завантажуються назад на канал Discord під контролем зловмисника, і можуть бути використані для входу в систему під чужими даними користувача.
Початкова версія шкідливого програмного забезпечення розповсюджувалася у вигляді виконуваного файлу, який легко виявлявся антивірусними програмами. Щоб зробити AnarchyGrabber більш важким виявлення антивірусами і збільшити живучість, розробники оновили своє дітище, і тепер воно змінює файли JavaScript, використовувані клієнтом Discord, для впровадження свого коду при кожному запуску. Ця версія отримала дуже оригінальну назву AnarchyGrabber2 і при своєму запуску впроваджує шкідливий код у файл %AppData%Discord[version]modulesdiscord_desktop_coreindex.js.
Після запуску AnarchyGrabber2 у файлі index.js з'явиться модифікований код JavaScript з підпапки 4n4rchy, як показано нижче.
З цими змінами під час запуску Discord будуть завантажуватись і додаткові шкідливі файли JavaScript. Тепер, коли користувач входить до месенджера, сценарії будуть використовувати веб-хук для відправки токена користувача на канал зловмисника.
Що робить цю модифікацію клієнта Discord такою проблемою, так це те, що навіть якщо вихідний файл шкідливого ПЗ буде виявлений антивірусом, клієнтські файли вже будуть змінені. Тому шкідливий код може залишатися на машині скільки завгодно довго, і користувач навіть не підозрюватиме, що дані його облікового запису були вкрадені.
Це не перший випадок, коли шкідлива програма змінює файли клієнтів Discord. У жовтні 2019 року повідомлялося про те, що інша шкідлива програма також модифікує клієнтські файли, перетворюючи клієнта Discord на трояна, який краде інформацію. Тоді компанія-розробник Discord заявляла, що вона шукатиме способи усунути цю вразливість, але проблема, як видно, досі не вирішена.
До того часу, поки Discord не додасть перевірку цілісності файлів клієнта під час запуску, облікові записи Discord продовжуватимуть ризикувати через шкідливих програм, які вносять зміни у файли цього месенджера.
Джерело: 3dnews.ru