Новая версия вредоносного ПО AnarchyGrabber фактически превратила Discord (бесплатный мессенджер с поддержкой VoIP и видеоконференций) в похитителя аккаунтов. Малварь изменяет клиентские файлы Discord так, чтобы похищать учетные записи пользователей при входе в сервис Discord и при этом оставаться незаметной для антивирусов.
Информация об AnarchyGrabber распространяется на форумах хакеров и в видеороликах на YouTube. Суть приложения заключается в том, что во время запуска вредоносное ПО крадет пользовательские токены зарегистрированного пользователя Discord. Эти токены потом загружаются обратно на канал Discord под контролем злоумышленника, и могут быть использованы для входа в систему под чужими пользовательскими данными.
Первоначальная версия вредоносного ПО распространялась в виде исполняемого файла, который легко обнаруживался антивирусными программами. Чтобы сделать AnarchyGrabber более трудным для обнаружения антивирусами и увеличить живучесть, разработчики обновили своё детище, и теперь оно изменяет файлы JavaScript, используемые клиентом Discord, для внедрения своего кода при каждом запуске. Эта версия получила очень оригинальное название AnarchyGrabber2 и при своём запуске внедряет вредоносный код в файл «%AppData%Discord[version]modulesdiscord_desktop_coreindex.js».
Так выглядит оригинальный файл index.js клиента Discord.
После запуска AnarchyGrabber2 в файле index.js появится модифицированный код JavaScript из подпапки 4n4rchy, как показано ниже.
Модифицированный файл index.js клиента Discord.
С этими изменениями при запуске Discord будут загружаться и дополнительные вредоносные файлы JavaScript. Теперь, когда пользователь входит в мессенджер, сценарии будут использовать веб-хук для отправки токена пользователя на канал злоумышленника.
Что делает данную модификацию клиента Discord такой проблемой, так это то, что даже если исходный исполняемый файл вредоносного ПО будет обнаружен антивирусом, клиентские файлы уже будут изменены. Поэтому вредоносный код может оставаться на машине сколь угодно долго, и пользователь даже не будет подозревать, что данные его учетной записи были украдены.
Это не первый случай, когда вредоносная программа изменяет клиентские файлы Discord. В октябре 2019 года сообщалось о том, что другая вредоносная программа также модифицирует клиентские файлы, превращая клиента Discord в трояна, крадущего информацию. Тогда компания-разработчик Discord заявляла, что она будет искать способы устранить эту уязвимость, но проблема, как видно, до сих пор не решена.
До тех пор, пока Discord не добавит проверку целостности файлов клиента при запуске, учетные записи Discord будут по-прежнему подвергаться риску из-за вредоносных программ, которые вносят изменения в файлы этого мессенджера.
Источник: 3dnews.ru
