Discord to popularny komunikator, który został stworzony z myślą o graczach. Obecnie korzysta z niego ponad 200 milionów użytkowników. Od jakiegoś czasu jest on na celowniku przestępców (więcej przeczytasz tutaj). Trojan AnarchyGrabber otrzymał nową aktualizację i jest teraz w stanie wykradać hasła, tokeny, wyłączać 2FA oraz rozprzestrzeniać malware w ramach sieci kontaktów ofiary.

Kilka słów nt. AnarchyGrapper. Jest to popularny trojan, rozprzestrzeniany za darmo na forach hackerskich. Przestępcy przemycają trojana na Discord udając, że jest to tzw. game cheat lub narzędzie do hackowania.

Nowe szaty króla. AnarchyGrabber3 zadebiutował niespełna tydzień temu. Nowy wariant jest w stanie dodatkowo wykradać hasła plain text oraz zarażać kolejnych użytkowników komunikatora. Dysponując danymi uwierzytelniającymi ofiary przestępcy są w stanie przejąć kontrolę nad jej kontem.

Aby AnarchyGrabber3 był w stanie ładować dodatkowe skrypty JS musi najpierw zmodyfikować plik %AppData%\Discord\[wersja]\modules\discord_desktop_core\index.js klienta Discord. W następnym kroku zostaje załadowany kolejny złośliwy plik JS – discordmod.js. Ma on za zadanie wylogować użytkownika z Discord i zmusić go do podania danych uwierzytelniających do konta. Kiedy atakujący mają już pełny dostęp ]wyłączają uwierzytelnianie dwuskładnikowe, a następnie korzystając z Discord webhook przesyłają na swoje serwery adres email użytkownika, login, tokeny, hasło plain text oraz adres IP. Na koniec infekują kontakty ofiary – rozsyłana wiadomość posiada zaszyty malware.

To co czyni AnarchyGrabber3 wyjątkowo niebezpiecznym i efektywnym jest fakt, że większość ofiar nie ma pojęcia że została zainfekowana. W tle nie zachodzą żadne niebezpieczne procesy, antywirus nie ma więc większej szansy na wykrycie zagrożenia.

Jak sprawdzić, czy Twój klient Discord został zainfekowany? Otwórz w edytorze tekstowym plik %AppData%\Discord\[wersja]\modules\discord_desktop_core\index.js i zweryfikuj, czy nie zaszły w nim jakieś zmiany. Plik powinien posiadać wyłącznie jedną linijkę kodu:

module.exports = require(‚./core.asar’);

Źródło

Źródło

© 2020 Inf-Media | All rights reserved.

STAY CONNECTED WITH US: