Издание Bleeping Computer предупреждает, что новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы. И для всего этого злоумышленники модифицируют официальный клиент Discord.
Как правило, злоумышленники распространяют AnarchyGrabber через Discord, выдавая трояна за игровой чит, хакерский инструмент или пиратский софт. Если жертва клюнула на эту удочку, после установки троян модифицирует JavaScript-файлы клиента Discord, чтобы превратить его в малварь, которая способна похитить токен пользователя. Используя этот токен, хакеры получают возможность войти в Discord под видом своей жертвы.
Однако на прошлой неделе была замечена новая версия AnarchyGrabber, содержащая ряд новых функций. Теперь малварь носит название AnarchyGrabber3, похищает пароли жертв в формате простого текста, а также может использовать зараженный клиент Discord для дальнейшего распространения угрозы среди всех друзей пострадавшего. Отмечается, что похищенные таким способом пароли могут использоваться для взлома учетных записей на других сайтах.
После установки AnarchyGrabber3 использует файл %AppData%\Discord\[version]\modules\discord_desktop_core\index.js клиента Discord для загрузки других JavaScript-файлов, добавленных малварью. Как видно на иллюстрации ниже, при запуске Discord модифицированный скрипт загружает файл с именем inject.js из новой папки 4n4rchy.
Затем этот файл загрузит в клиент другой вредоносный файл — discordmod.js. Эти скрипты разлогинивают пользователя из клиента Discord и предлагают ему войти в приложение заново.
Как только жертва осуществляет вход, модифицированный клиент Discord пытается отключить двухфакторную аутентификацию для учетной записи. Затем клиент использует веб-хук для передачи адреса электронной почты, имени пользователя, токена, обычного текстового пароля и IP-адреса на специальный канал Discord, находящийся под контролем злоумышленников.
После этого «подправленный» клиент Discord ждет дальнейших команд от своих операторов. Одна из них может приказать взломанным клиентам Discord разослать вредоносные сообщения всем друзьям жертвы, содержащее все ту же малварь. Исследователи пишут, что этот компонент облегчает преступникам распространение AnarchyGrabber3, а также может применяться для распространения других типов вредоносных программ.
Издание предупреждает, что основная опасность AnarchyGrabber заключается в том, что большинство его жертв даже не знают о том, что были заражены. Так, после запуска исполняемого файла AnarchyGrabber3 и изменения файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова. То есть вредоносного процесса, который мог бы обнаружить антивирус, попросту нет, а зараженный компьютер все равно остается частью ботнета.
Фактически, единственный способ удалить AnarchyGrabber3 — это удалить клиент Discord и установить его заново.