Atualizado recentemente, o Malware AnarchyGrabber transforma Discord em ladrão de contas. Conheça os detalhes dessa perigosa ameaça digital.
O AnarchyGrabber é um malware popular distribuído em fóruns de hackers e em vídeos do YouTube que rouba tokens de usuário para um usuário Discord conectado quando o malware é executado.
Esses tokens de usuário são enviados de volta para um canal Discord sob o controle do atacante, onde podem ser coletados e usados pelo agente de ameaça para fazer login como suas vítimas.
A versão original do malware está na forma de um executável que é facilmente detectado pelo software de segurança e apenas rouba tokens enquanto está em execução.
Agora, foi lançada uma nova versão desse popular malware AnarchyGrabber Discord, que modifica os arquivos do cliente Discord, para evitar a detecção e roubar contas de usuário sempre que alguém fizer login no serviço de bate-papo.
Atualizado, Malware AnarchyGrabber transforma Discord em ladrão de contas
Para dificultar a detecção pelo software antivírus e oferecer persistência, um agente de ameaças atualizou o malware AnarchyGrabber, modificando os arquivos JavaScript usados pelo cliente Discord para injetar seu código toda vez que é executado.
Essa nova versão recebe o nome original de AnarchyGrabber2 e, quando executada, modifica o arquivo %AppData%\Discord\[version]\modules\discord_desktop_core\index.js para injetar JavaScript criado pelo desenvolvedor do malware.
Por exemplo, o arquivo index.js normalmente se parece com a imagem a seguir para um cliente Discord não modificado.
Quando AnarchyGrabber2 é executado, o arquivo index.js será modificado para injetar arquivos JavaScript adicionais de uma subpasta 4n4rchy, como mostrado abaixo.
Com essas alterações, quando o Discord for iniciado, os arquivos JavaScript maliciosos adicionais também serão carregados.
Agora, quando um usuário fizer login no Discord, os scripts usarão um webhook para postar o token de usuário da vítima no canal de Discord de um ator ameaçado com a mensagem “Trazido a você pelo The Anarchy Token Grabber”.
O MalwareHunterTeam, que encontrou essa nova variante e a compartilhou conosco, disse ao site BleepingComputer que “os skids estão compartilhando-os em todos os lugares”.
O que torna essas modificações do cliente Discord um problema é que, mesmo que o executável original do malware seja detectado, os arquivos do cliente já serão modificados.
Como o software de segurança faz um trabalho tão ruim na detecção dessas modificações do cliente, o código permanecerá residente na máquina sem que o usuário saiba que suas contas estão sendo roubadas.
O Discord precisa fazer verificações de integridade do cliente
Não é a primeira vez que um malware do Discord modifica os arquivos JavaScript do cliente.
Em outubro de 2019, a BleepingComputer deu a notícia de que um malware Discord estava modificando os arquivos do cliente para transformá-lo em um Trojan que rouba informações.
Na época, o Discord havia declarado que procuraria maneiras de impedir que isso acontecesse novamente, mas, infelizmente, esses planos nunca aconteceram.
A maneira correta como essas modificações podem ser detectadas é o Discord criar um hash de cada arquivo do cliente quando uma nova versão é lançada.
Assim, se um arquivo for modificado, o hash para esse arquivo específico será alterado.
O Discord pode, então, executar uma verificação de integridade do arquivo na inicialização e, se um arquivo tiver sido detectado, exibir uma mensagem alertando que o arquivo foi modificado.
Até que o Discord adicione a integridade do cliente à inicialização do cliente, as contas do Discord continuarão correndo o risco de malware que modifica os arquivos do cliente.
- Microsoft levará os jogos em nuvem do Xbox para TVs inteligentes
- Como instalar o jogo de xadrez Gnuchess no Linux via Snap
- Como instalar o emulador de Gameboy mGBA no Linux
- Extensão GameMode para GNOME agora tem suporte ao GNOME 40
