新版本的 AnarchyGrabber 惡意軟體實際上已將 Discord(一款支援 VoIP 和視訊會議的免費即時通訊軟體)變成了帳戶竊賊。 該惡意軟體會修改 Discord 用戶端文件,從而在登入 Discord 服務時竊取使用者帳戶,同時對防毒軟體不可見。
有關 AnarchyGrabber 的資訊正在駭客論壇和 YouTube 影片上傳播。 該應用程式的前提是,啟動時,惡意軟體會竊取已註冊 Discord 用戶的用戶令牌。 然後,這些令牌在攻擊者的控制下上傳回 Discord 通道,並可用於使用其他人的使用者憑證登入。
該惡意軟體的原始版本作為可執行檔分發,很容易被防毒程式偵測到。 為了讓 AnarchyGrabber 更難被防毒軟體檢測並提高生存能力,開發人員更新了他們的創意,現在它修改了 Discord 用戶端使用的 JavaScript 文件,以便在每次啟動時注入其程式碼。 此版本最初的名稱為 AnarchyGrabber2,啟動後會將惡意程式碼注入到檔案「%AppData%Discord[version]modulesdiscord_desktop_coreindex.js」中。
執行AnarchyGrabber2後,4n4rchy子資料夾中修改後的JavaScript程式碼將出現在index.js檔案中,如下所示。
透過這些更改,當您啟動 Discord 時,將會下載其他惡意 JavaScript 檔案。 現在,當使用者登入 Messenger 時,腳本將使用 Webhook 將使用者的令牌傳送到攻擊者的通道。
對 Discord 用戶端的修改造成這樣一個問題的原因是,即使防毒軟體偵測到原始惡意軟體可執行文件,用戶端文件也已經被修改。 因此,惡意程式碼可以在電腦上保留多久,用戶甚至不會懷疑他的帳戶資料已被竊取。
這並不是惡意軟體第一次修改 Discord 用戶端檔案。 2019 年 XNUMX 月,據報道,另一款惡意軟體也在修改用戶端文件,將 Discord 用戶端變成資訊竊取木馬。 當時,Discord 開發者表示將尋找修復此漏洞的方法,但問題顯然尚未解決。
在 Discord 在啟動時新增用戶端檔案完整性檢查之前,Discord 帳戶將繼續面臨更改信差檔案的惡意軟體的風險。
來源: 3dnews.ru