新版本的 AnarchyGrabber 恶意软件实际上已将 Discord(一款支持 VoIP 和视频会议的免费即时通讯软件)变成了帐户窃贼。 该恶意软件会修改 Discord 客户端文件,从而在登录 Discord 服务时窃取用户帐户,同时对防病毒软件不可见。
有关 AnarchyGrabber 的信息正在黑客论坛和 YouTube 视频上传播。 该应用程序的前提是,当启动时,恶意软件会窃取已注册 Discord 用户的用户令牌。 然后,这些令牌在攻击者的控制下上传回 Discord 通道,并可用于使用其他人的用户凭据登录。
该恶意软件的原始版本作为可执行文件分发,很容易被防病毒程序检测到。 为了使 AnarchyGrabber 更难被防病毒软件检测并提高生存能力,开发人员更新了他们的创意,现在它修改了 Discord 客户端使用的 JavaScript 文件,以便在每次启动时注入其代码。 该版本最初的名称为 AnarchyGrabber2,启动后会将恶意代码注入到文件“%AppData%Discord[version]modulesdiscord_desktop_coreindex.js”中。
运行AnarchyGrabber2后,4n4rchy子文件夹中修改后的JavaScript代码将出现在index.js文件中,如下所示。
通过这些更改,当您启动 Discord 时,将会下载其他恶意 JavaScript 文件。 现在,当用户登录 Messenger 时,脚本将使用 Webhook 将用户的令牌发送到攻击者的通道。
对 Discord 客户端的修改造成这样一个问题的原因是,即使防病毒软件检测到原始恶意软件可执行文件,客户端文件也已经被修改。 因此,恶意代码可以在计算机上保留多久,用户甚至不会怀疑他的帐户数据已被窃取。
这并不是恶意软件第一次修改 Discord 客户端文件。 2019 年 XNUMX 月,据报道,另一款恶意软件也在修改客户端文件,将 Discord 客户端变成信息窃取木马。 当时,Discord 开发者表示将寻找修复此漏洞的方法,但问题显然尚未得到解决。
在 Discord 在启动时添加客户端文件完整性检查之前,Discord 帐户将继续面临更改信使文件的恶意软件的风险。
来源: 3dnews.ru