Malware AnarchyGrabber transforma Discord em ladrão de contas

Atualizado recentemente, o Malware AnarchyGrabber transforma Discord em ladrão de contas. Conheça os detalhes dessa perigosa ameaça digital.

O AnarchyGrabber é um malware popular distribuído em fóruns de hackers e em vídeos do YouTube que rouba tokens de usuário para um usuário Discord conectado quando o malware é executado.

Esses tokens de usuário são enviados de volta para um canal Discord sob o controle do atacante, onde podem ser coletados e usados pelo agente de ameaça para fazer login como suas vítimas.

A versão original do malware está na forma de um executável que é facilmente detectado pelo software de segurança e apenas rouba tokens enquanto está em execução.

Agora, foi lançada uma nova versão desse popular malware AnarchyGrabber Discord, que modifica os arquivos do cliente Discord, para evitar a detecção e roubar contas de usuário sempre que alguém fizer login no serviço de bate-papo.

Atualizado, Malware AnarchyGrabber transforma Discord em ladrão de contas

Para dificultar a detecção pelo software antivírus e oferecer persistência, um agente de ameaças atualizou o malware AnarchyGrabber, modificando os arquivos JavaScript usados pelo cliente Discord para injetar seu código toda vez que é executado.

Essa nova versão recebe o nome original de AnarchyGrabber2 e, quando executada, modifica o arquivo %AppData%\Discord\[version]\modules\discord_desktop_core\index.js para injetar JavaScript criado pelo desenvolvedor do malware.

Por exemplo, o arquivo index.js normalmente se parece com a imagem a seguir para um cliente Discord não modificado.

Quando AnarchyGrabber2 é executado, o arquivo index.js será modificado para injetar arquivos JavaScript adicionais de uma subpasta 4n4rchy, como mostrado abaixo.

Com essas alterações, quando o Discord for iniciado, os arquivos JavaScript maliciosos adicionais também serão carregados.

Agora, quando um usuário fizer login no Discord, os scripts usarão um webhook para postar o token de usuário da vítima no canal de Discord de um ator ameaçado com a mensagem “Trazido a você pelo The Anarchy Token Grabber”.

O MalwareHunterTeam, que encontrou essa nova variante e a compartilhou conosco, disse ao site BleepingComputer que “os skids estão compartilhando-os em todos os lugares”.

O que torna essas modificações do cliente Discord um problema é que, mesmo que o executável original do malware seja detectado, os arquivos do cliente já serão modificados.

Como o software de segurança faz um trabalho tão ruim na detecção dessas modificações do cliente, o código permanecerá residente na máquina sem que o usuário saiba que suas contas estão sendo roubadas.

O Discord precisa fazer verificações de integridade do cliente

Não é a primeira vez que um malware do Discord modifica os arquivos JavaScript do cliente.

Em outubro de 2019, a BleepingComputer deu a notícia de que um malware Discord estava modificando os arquivos do cliente para transformá-lo em um Trojan que rouba informações.

Na época, o Discord havia declarado que procuraria maneiras de impedir que isso acontecesse novamente, mas, infelizmente, esses planos nunca aconteceram.

A maneira correta como essas modificações podem ser detectadas é o Discord criar um hash de cada arquivo do cliente quando uma nova versão é lançada.

Assim, se um arquivo for modificado, o hash para esse arquivo específico será alterado.

O Discord pode, então, executar uma verificação de integridade do arquivo na inicialização e, se um arquivo tiver sido detectado, exibir uma mensagem alertando que o arquivo foi modificado.

Até que o Discord adicione a integridade do cliente à inicialização do cliente, as contas do Discord continuarão correndo o risco de malware que modifica os arquivos do cliente.