ΑρχικήsecurityΝέα έκδοση του AnarchyGrabber Discord malware κλέβει user tokens

Νέα έκδοση του AnarchyGrabber Discord malware κλέβει user tokens

Discord malware

Μια νέα έκδοση του δημοφιλούς AnarchyGrabber Discord malware έχει κυκλοφορήσει και τροποποιεί τα Discord client files, ώστε να μπορεί να αποφύγει την ανίχνευση και να κλέψει λογαριασμούς χρηστών κάθε φορά που κάποιος συνδέεται στην υπηρεσία συνομιλίας (Discord).

Το AnarchyGrabber είναι ένα δημοφιλές malware που διανέμεται συνήθως σε hacking forums και σε βίντεο του YouTube. Το AnarchyGrabber κλέβει τα user tokens των χρηστών Discord, που προσπαθούν να συνδεθούν στην υπηρεσία.

Τα user tokens μεταφορτώνονται, στη συνέχεια, σε ένα Discord channel που βρίσκεται υπό τον έλεγχο του εισβολέα. Έτσι, τα tokens συλλέγονται από τον απατεώνα, ο οποίος μπορεί να συνδεθεί στην υπηρεσία χρησιμοποιώντας τα.

Η αρχική έκδοση του AnarchyGrabber Discord malware έχει τη μορφή ενός εκτελέσιμου αρχείου, το οποίο απλά κλέβει tokens αλλά εντοπίζεται εύκολα από τα λογισμικά ασφαλείας.

Τροποποίηση Discord client files για αποφυγή της ανίχνευσης

Για να γίνει πιο δύσκολος ο εντοπισμός από antivirus λογισμικά, ένας hacker έχει ενημερώσει το AnarchyGrabber Discord malware, ώστε να τροποποιεί τα JavaScript αρχεία που χρησιμοποιούνται από τον Discord client και να κάνει “έγχυση” του κώδικά του κάθε φορά που εκτελείται.

Αυτή η νέα έκδοση έχει πάρει το όνομα AnarchyGrabber2, και όταν εκτελείται, τροποποιεί το %AppData%\Discord\[version]\modules\discord_desktop_core\index.js file για την έγχυση του JavaScript, που δημιουργήθηκε από τον προγραμματιστή του κακόβουλου λογισμικού.

Για παράδειγμα, το αρχείο index.js κανονικά μοιάζει κάπως έτσι:

Όταν εκτελείται το AnarchyGrabber2, το αρχείο index.js θα τροποποιηθεί για την εισαγωγή πρόσθετων αρχείων JavaScript από έναν υποφάκελο 4n4rchy, όπως φαίνεται παρακάτω:

Με αυτές τις αλλαγές, όταν ξεκινάει το Discord, φορτώνονται και τα πρόσθετα κακόβουλα αρχεία JavaScript.

Τώρα, όταν ένας χρήστης προσπαθεί να συνδεθεί στο Discord, τα scripts θα χρησιμοποιήσουν ένα webhook για να δημοσιεύσουν το user token του θύματος στο Discord channel του απατεώνα. Στη συνέχεια, θα εμφανιστεί το μήνυμα: “Brought to you by The Anarchy Token Grabber”.

Discord malware

Αυτό που καθιστά τη νέα έκδοση επικίνδυνη, είναι ότι ακόμα και αν εντοπιστεί το αρχικό εκτελέσιμο, τα client files θα έχουν ήδη τροποποιηθεί.

Ο κακόβουλος κώδικας θα παραμείνει στο μηχάνημα και οι χρήστες δεν θα γνωρίζουν καν ότι οι λογαριασμοί τους έχουν κλαπεί.

Δεν είναι η πρώτη φορά που ένα Discord malware τροποποιεί τα JavaScript files.

Τον Οκτώβριο του 2019, ένα Discord malware τροποποιούσε τα client files για να μετατρέψει τον client σε Trojan που κλέβει πληροφορίες.

Εκείνη την εποχή, η Discord είπε ότι θα έπαιρνε μέτρα για να μην ξανασυμβεί κάτι τέτοιο. Ωστόσο, απ’ ότι φαίνεται δεν τα κατάφερε.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS