Atualizado recentemente, o Malware AnarchyGrabber transforma Discord em ladrão de contas. Conheça os detalhes dessa perigosa ameaça digital.
O AnarchyGrabber é um malware popular distribuído em fóruns de hackers e em vídeos do YouTube que rouba tokens de usuário para um usuário Discord conectado quando o malware é executado.
Esses tokens de usuário são enviados de volta para um canal Discord sob o controle do atacante, onde podem ser coletados e usados pelo agente de ameaça para fazer login como suas vítimas.
A versão original do malware está na forma de um executável que é facilmente detectado pelo software de segurança e apenas rouba tokens enquanto está em execução.
Agora, foi lançada uma nova versão desse popular malware AnarchyGrabber Discord, que modifica os arquivos do cliente Discord, para evitar a detecção e roubar contas de usuário sempre que alguém fizer login no serviço de bate-papo.
Atualizado, Malware AnarchyGrabber transforma Discord em ladrão de contas
Para dificultar a detecção pelo software antivírus e oferecer persistência, um agente de ameaças atualizou o malware AnarchyGrabber, modificando os arquivos JavaScript usados pelo cliente Discord para injetar seu código toda vez que é executado.
Essa nova versão recebe o nome original de AnarchyGrabber2 e, quando executada, modifica o arquivo %AppData%\Discord\[version]\modules\discord_desktop_core\index.js para injetar JavaScript criado pelo desenvolvedor do malware.
Por exemplo, o arquivo index.js normalmente se parece com a imagem a seguir para um cliente Discord não modificado.
Quando AnarchyGrabber2 é executado, o arquivo index.js será modificado para injetar arquivos JavaScript adicionais de uma subpasta 4n4rchy, como mostrado abaixo.
Com essas alterações, quando o Discord for iniciado, os arquivos JavaScript maliciosos adicionais também serão carregados.
Agora, quando um usuário fizer login no Discord, os scripts usarão um webhook para postar o token de usuário da vítima no canal de Discord de um ator ameaçado com a mensagem “Trazido a você pelo The Anarchy Token Grabber”.
O MalwareHunterTeam, que encontrou essa nova variante e a compartilhou conosco, disse ao site BleepingComputer que “os skids estão compartilhando-os em todos os lugares”.
O que torna essas modificações do cliente Discord um problema é que, mesmo que o executável original do malware seja detectado, os arquivos do cliente já serão modificados.
Como o software de segurança faz um trabalho tão ruim na detecção dessas modificações do cliente, o código permanecerá residente na máquina sem que o usuário saiba que suas contas estão sendo roubadas.
O Discord precisa fazer verificações de integridade do cliente
Não é a primeira vez que um malware do Discord modifica os arquivos JavaScript do cliente.
Em outubro de 2019, a BleepingComputer deu a notícia de que um malware Discord estava modificando os arquivos do cliente para transformá-lo em um Trojan que rouba informações.
Na época, o Discord havia declarado que procuraria maneiras de impedir que isso acontecesse novamente, mas, infelizmente, esses planos nunca aconteceram.
A maneira correta como essas modificações podem ser detectadas é o Discord criar um hash de cada arquivo do cliente quando uma nova versão é lançada.
Assim, se um arquivo for modificado, o hash para esse arquivo específico será alterado.
O Discord pode, então, executar uma verificação de integridade do arquivo na inicialização e, se um arquivo tiver sido detectado, exibir uma mensagem alertando que o arquivo foi modificado.
Até que o Discord adicione a integridade do cliente à inicialização do cliente, as contas do Discord continuarão correndo o risco de malware que modifica os arquivos do cliente.
- Gamebuntu 1 lançado com um redesenho completo
- Como instalar o emulador de Dreamcast Reicast no Ubuntu e derivados
- Como instalar o cliente Steam for Windows com Wine no Linux via Snap
- Como instalar o gerenciador de jogos Lutris no Linux
O que está sendo falado no blog
- Como instalar o IRPF 2022 no Linux via Flatpak
- Como instalar o programa IRPF 2022 no Linux via arquivo BIN
- Como instalar a versão multiplataforma do IRPF 2022 no Linux manualmente
- Como atualizar o Fedora 35 para 36 sem complicações
- Fedora 36 lançado com GNOME 42, Kernel 5.17, e muito mais
- Dicas de coisas para fazer depois de instalar o Ubuntu 22.04 LTS
- Confira as novidades do Ubuntu Kylin 22.04 LTS
- Confira as novidades do Ubuntu Cinnamon Remix 22.04 LTS
- Confira as novidades do Lubuntu 22.04 LTS
- Confira as novidades do Ubuntu Unity 22.04 LTS
- Confira as novidades do Ubuntu Studio 22.04 LTS
- Confira as novidades do Kubuntu 22.04 LTS
- Confira as novidades do Ubuntu MATE 22.04 LTS
- Confira as novidades do Xubuntu 22.04 LTS
- Confira as novidades do Ubuntu Budgie 22.04 LTS
- Como atualizar para o Ubuntu 22.04 LTS via terminal (server e desktop)
- Ubuntu 22.04 LTS lançado com GNOME 42, kernel 5.15, e muito mais
- Confira os novos recursos e a data de lançamento do Ubuntu 22.04
- Compare as especificações dos PCs de jogos portáteis (Valve Steam Deck, GPD Win 3, OneGx1 Pro, Aya Neo, GPD Win Max 2021)