A revista Bleeping Computer avisa que a nova versão do Trojan AnarchyGrabber rouba senhas e tokens, desativa 2FAs e distribui o malware para os amigos da vítima. Além disso, invasores modificam e usam o cliente oficial do Discord como ferramenta para roubar senhas.
Como uma regra, invasores espalham AnarchyGrabber por meio do Discord, posando como um trojan para um truque de jogo, ferramenta hacker ou software pirata. Se a vítima for pega neste truque de phishing, depois de instalar o trojan, ele modifica os arquivos JavaScript do cliente Discord para transformá-lo em um malware que pode roubar o token do usuário. Usando este token, hackers têm a oportunidade de entrar no Discord em nome de suas vítimas.
No entanto, uma nova versão do AnarchyGrabber que foi descoberta na semana passada, possui uma série de novos recursos.
“Agora o malware se chama AnarchyGrabber3, rouba vítimas’ senhas em texto simples, e também pode usar o cliente Discord infectado para espalhar a ameaça ainda mais para todos os amigos da vítima. Senhas roubadas dessa forma podem ser usadas para hackear contas em outros sites”, – relatório Bleeping Jornalistas de computador.
Depois da instalação, AnarchyGrabber3 usa o %AppData%Discord[versão]\modules\discord_desktop_core\index.js arquivo do cliente Discord para carregar outros arquivos JavaScript adicionados pelo malware. Como você pode ver na ilustração abaixo, quando você inicia o Discord, um script modificado carrega um arquivo chamado inject.js da nova pasta 4n4rchy.
Então este arquivo carregará outro arquivo malicioso no cliente – discordmod.js. Esses scripts desconectam o usuário do cliente Discord e solicitam que ele entre novamente no aplicativo.
Assim que a vítima fizer login, o cliente Discord modificado tenta desabilitar a autenticação de dois fatores para a conta. O cliente então usa um web hook para enviar um endereço de e-mail, nome de usuário, símbolo, senha de texto simples, e endereço IP para um canal especial do Discord que controla os invasores.
Depois disso, o cliente Discord “corrigido” aguarda novos comandos de seus operadores. Um deles pode ordenar que clientes Discord hackeados enviem mensagens maliciosas com o mesmo malware para todos os amigos da vítima.
Os pesquisadores escrevem que este componente torna mais fácil para os criminosos espalharem o AnarchyGrabber3, e também pode ser usado para espalhar outros tipos de malware.
A publicação alerta que o principal perigo do AnarchyGrabber é que a maioria das suas vítimas nem sequer sabe que foram infectadas. Então, depois de iniciar o arquivo executável AnarchyGrabber3 e alterar os arquivos do cliente Discord, o trojan praticamente não se manifesta e não reinicia. Aquilo é, simplesmente não há processo malicioso que um antivírus possa detectar, e um computador infectado continua fazendo parte da botnet.
Na verdade, a única maneira de desinstalar o AnarchyGrabber3 é desinstalar o cliente Discord e reinstalá-lo.
No contexto deste caso, gostaria de lembrar que os serviços de medição de palavras-passe também colocar os usuários da Internet em risco.