AnarchyGrabber zararli dasturining yangi versiyasi aslida Discord (VoIP va videokonferentsiyani qo‘llab-quvvatlaydigan bepul lahzali messenjer)ni hisob o‘g‘risiga aylantirdi. Zararli dastur Discord mijoz fayllarini Discord xizmatiga kirishda foydalanuvchi hisoblarini o'g'irlash va shu bilan birga antiviruslarga ko'rinmaydigan tarzda o'zgartiradi.
AnarchyGrabber haqidagi ma'lumotlar xakerlik forumlari va YouTube videolarida tarqalmoqda. Ilovaning asosi shundaki, ishga tushirilganda zararli dastur ro'yxatdan o'tgan Discord foydalanuvchisining foydalanuvchi tokenlarini o'g'irlaydi. Keyin bu tokenlar tajovuzkor nazorati ostida Discord kanaliga qayta yuklanadi va boshqa birovning foydalanuvchi hisob ma’lumotlari bilan tizimga kirish uchun ishlatilishi mumkin.
Zararli dasturning asl versiyasi antivirus dasturlari tomonidan osonlik bilan aniqlangan bajariladigan fayl sifatida tarqatildi. AnarchyGrabberni antiviruslar tomonidan aniqlashni qiyinlashtirish va omon qolish qobiliyatini oshirish uchun ishlab chiquvchilar o'zlarining aqliy qobiliyatlarini yangiladilar, shunda endi u Discord mijozi tomonidan ishlatiladigan JavaScript fayllarini har safar ishga tushirilganda o'z kodini kiritish uchun o'zgartiradi. Ushbu versiya juda original nomi AnarchyGrabber2 oldi va ishga tushirilganda u “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js” fayliga zararli kodni kiritadi.
AnarchyGrabber2 ishga tushirilgandan so'ng, 4n4rchy pastki papkasidan o'zgartirilgan JavaScript kodi quyida ko'rsatilganidek, index.js faylida paydo bo'ladi.
Ushbu o'zgarishlar bilan Discord-ni ishga tushirganingizda qo'shimcha zararli JavaScript fayllari yuklab olinadi. Endi foydalanuvchi messenjerga kirganda, skriptlar foydalanuvchi tokenini tajovuzkorning kanaliga yuborish uchun vebhukdan foydalanadi.
Discord mijozining ushbu modifikatsiyasini shunday muammoga aylantiradigan narsa shundaki, agar asl zararli dastur bajariladigan antivirus tomonidan aniqlangan bo'lsa ham, mijoz fayllari allaqachon o'zgartirilgan bo'ladi. Shu sababli, zararli kod mashinada xohlagancha qolishi mumkin va foydalanuvchi hatto uning hisob ma'lumotlari o'g'irlanganiga shubha qilmaydi.
Bu zararli dastur Discord mijoz fayllarini o'zgartirgan birinchi marta emas. 2019-yil oktabr oyida yana bir zararli dastur ham mijoz fayllarini o‘zgartirib, Discord mijozini ma’lumot o‘g‘irlovchi troyanga aylantirgani haqida xabar berilgan edi. O'sha paytda Discord ishlab chiqaruvchisi ushbu zaiflikni tuzatish yo'llarini izlashini aytdi, ammo muammo hali hal etilmagan ko'rinadi.
Discord ishga tushirilganda mijoz fayllari yaxlitligini tekshirishni qo'shmaguncha, Discord hisoblari messenjer fayllariga o'zgartirishlar kiritadigan zararli dasturlardan xavf ostida qoladi.
Manba: 3dnews.ru