Một phiên bản mới của phần mềm độc hại AnarchyGrabber thực sự đã biến Discord (một ứng dụng nhắn tin tức thời miễn phí hỗ trợ VoIP và hội nghị video) thành kẻ trộm tài khoản. Phần mềm độc hại sửa đổi các tệp khách Discord theo cách đánh cắp tài khoản người dùng khi đăng nhập vào dịch vụ Discord, đồng thời vẫn vô hình trước các phần mềm chống vi-rút.
Thông tin về AnarchyGrabber đang được lan truyền trên các diễn đàn hacker và video YouTube. Tiền đề của ứng dụng là khi khởi chạy, phần mềm độc hại sẽ đánh cắp mã thông báo người dùng của người dùng Discord đã đăng ký. Các mã thông báo này sau đó được tải trở lại kênh Discord dưới sự kiểm soát của kẻ tấn công và có thể được sử dụng để đăng nhập bằng thông tin xác thực người dùng của người khác.
Phiên bản gốc của phần mềm độc hại được phân phối dưới dạng tệp thực thi dễ dàng bị các chương trình chống vi-rút phát hiện. Để làm cho AnarchyGrabber khó bị phần mềm chống vi-rút phát hiện hơn và tăng khả năng sống sót, các nhà phát triển đã cập nhật đứa con tinh thần của họ để giờ đây nó sửa đổi các tệp JavaScript được ứng dụng khách Discord sử dụng để chèn mã của nó mỗi khi nó được khởi chạy. Phiên bản này nhận được tên ban đầu là AnarchyGrabber2 và khi ra mắt, nó sẽ tiêm mã độc vào tệp “%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”.
Sau khi chạy AnarchyGrabber2, mã JavaScript được sửa đổi từ thư mục con 4n4rchy sẽ xuất hiện trong tệp index.js, như hiển thị bên dưới.
Với những thay đổi này, các tệp JavaScript độc hại bổ sung sẽ được tải xuống khi bạn khởi chạy Discord. Bây giờ, khi người dùng đăng nhập vào Messenger, các tập lệnh sẽ sử dụng webhook để gửi mã thông báo của người dùng đến kênh của kẻ tấn công.
Điều khiến việc sửa đổi ứng dụng khách Discord này trở thành một vấn đề là ngay cả khi chương trình chống vi-rút phát hiện phần mềm độc hại ban đầu, các tệp ứng dụng khách sẽ đã được sửa đổi. Do đó, mã độc có thể tồn tại trên máy bao lâu tùy thích và người dùng thậm chí sẽ không nghi ngờ rằng dữ liệu tài khoản của mình đã bị đánh cắp.
Đây không phải là lần đầu tiên phần mềm độc hại sửa đổi tệp máy khách Discord. Vào tháng 2019 năm XNUMX, có thông tin cho rằng một phần mềm độc hại khác cũng đang sửa đổi các tệp khách hàng, biến ứng dụng khách Discord thành một Trojan đánh cắp thông tin. Vào thời điểm đó, nhà phát triển Discord tuyên bố rằng họ sẽ tìm cách khắc phục lỗ hổng này, nhưng vấn đề dường như vẫn chưa được giải quyết.
Cho đến khi Discord bổ sung tính năng kiểm tra tính toàn vẹn của tệp khách hàng khi khởi động, các tài khoản Discord sẽ tiếp tục gặp rủi ro trước phần mềm độc hại thực hiện các thay đổi đối với tệp của trình nhắn tin.
Nguồn: 3dnews.ru