6 апреля 2020
Новая версия вредоносного ПО AnarchyGrabber фактически превратила Discord (бесплатный мессенджер с поддержкой VoIP и видеоконференций) в похитителя аккаунтов. Малварь изменяет клиентские файлы Discord так, чтобы похищать учетные записи пользователей при входе в сервис Discord и при этом оставаться незаметной для антивирусов.
Информация об AnarchyGrabber распространяется на форумах хакеров и в видеороликах на YouTube. Суть приложения заключается в том, что во время запуска вредоносное ПО крадет пользовательские токены зарегистрированного пользователя Discord. Эти токены потом загружаются обратно на канал Discord под контролем злоумышленника, и могут быть использованы для входа в систему под чужими пользовательскими данными.
Первоначальная версия вредоносного ПО распространялась в виде исполняемого файла, который легко обнаруживался антивирусными программами. Чтобы сделать AnarchyGrabber более трудным для обнаружения антивирусами и увеличить живучесть, разработчики обновили своё детище, и теперь оно изменяет файлы JavaScript, используемые клиентом Discord, для внедрения своего кода при каждом запуске. Эта версия получила очень оригинальное название AnarchyGrabber2 и при своём запуске внедряет вредоносный код в файл «%AppData%\Discord\[version]\modules\discord_desktop_core\index.js».
Так выглядит оригинальный файл index.js клиента Discord.
После запуска AnarchyGrabber2 в файле index.js появится модифицированный код JavaScript из подпапки 4n4rchy, как показано ниже.
Модифицированный файл index.js клиента Discord.
С этими изменениями при запуске Discord будут загружаться и дополнительные вредоносные файлы JavaScript. Теперь, когда пользователь входит в мессенджер, сценарии будут использовать веб-хук для отправки токена пользователя на канал злоумышленника.
Что делает данную модификацию клиента Discord такой проблемой, так это то, что даже если исходный исполняемый файл вредоносного ПО будет обнаружен антивирусом, клиентские файлы уже будут изменены. Поэтому вредоносный код может оставаться на машине сколь угодно долго, и пользователь даже не будет подозревать, что данные его учетной записи были украдены.
Это не первый случай, когда вредоносная программа изменяет клиентские файлы Discord. В октябре 2019 года сообщалось о том, что другая вредоносная программа также модифицирует клиентские файлы, превращая клиента Discord в трояна, крадущего информацию. Тогда компания-разработчик Discord заявляла, что она будет искать способы устранить эту уязвимость, но проблема, как видно, до сих пор не решена.
До тех пор, пока Discord не добавит проверку целостности файлов клиента при запуске, учетные записи Discord будут по-прежнему подвергаться риску из-за вредоносных программ, которые вносят изменения в файлы этого мессенджера.
Хочешь узнать больше - читай отзывы
← Вернуться на предыдущую страницу
Стало відомо, чому Віндзорам не можна приймати подарунки та навіщо брати в подорож чорний одяг 28 ноября 2024
Найдивніші правила королівського протоколу: чому Віндзорам не можна приймати подарунки та навіщо брати в подорож чорний одяг Високопоставлені особи мають дотримуватися чітко встановлених правил
На Київщині чоловік вистрілив зі знайденої на вулиці рушниці дружині в голову 28 ноября 2024
На Київщині чоловік вистрілив зі знайденої на вулиці рушниці дружині в голову. Подробиці справи та фото Стрільця затримали та повідомили йому про підозру
В Україні вводять нові правила для світлофорів 28 ноября 2024
В Україні вводять нові правила для світлофорів