Malware AnarchyGrabber transforma Discord em ladrão de contas

Atualizado recentemente, o Malware AnarchyGrabber transforma Discord em ladrão de contas. Conheça os detalhes dessa perigosa ameaça digital.

O AnarchyGrabber é um malware popular distribuído em fóruns de hackers e em vídeos do YouTube que rouba tokens de usuário para um usuário Discord conectado quando o malware é executado.

Malware AnarchyGrabber transforma Discord em ladrão de contas
Malware AnarchyGrabber transforma Discord em ladrão de contas

Esses tokens de usuário são enviados de volta para um canal Discord sob o controle do atacante, onde podem ser coletados e usados ​​pelo agente de ameaça para fazer login como suas vítimas.

A versão original do malware está na forma de um executável que é facilmente detectado pelo software de segurança e apenas rouba tokens enquanto está em execução.

Agora, foi lançada uma nova versão desse popular malware AnarchyGrabber Discord, que modifica os arquivos do cliente Discord, para evitar a detecção e roubar contas de usuário sempre que alguém fizer login no serviço de bate-papo.

Atualizado, Malware AnarchyGrabber transforma Discord em ladrão de contas

Para dificultar a detecção pelo software antivírus e oferecer persistência, um agente de ameaças atualizou o malware AnarchyGrabber, modificando os arquivos JavaScript usados ​​pelo cliente Discord para injetar seu código toda vez que é executado.

Essa nova versão recebe o nome original de AnarchyGrabber2 e, quando executada, modifica o arquivo %AppData%\Discord\[version]\modules\discord_desktop_core\index.js para injetar JavaScript criado pelo desenvolvedor do malware.

Por exemplo, o arquivo index.js normalmente se parece com a imagem a seguir para um cliente Discord não modificado.
Malware AnarchyGrabber transforma Discord em ladrão de contas
Quando AnarchyGrabber2 é executado, o arquivo index.js será modificado para injetar arquivos JavaScript adicionais de uma subpasta 4n4rchy, como mostrado abaixo.
segurança
Com essas alterações, quando o Discord for iniciado, os arquivos JavaScript maliciosos adicionais também serão carregados.

Agora, quando um usuário fizer login no Discord, os scripts usarão um webhook para postar o token de usuário da vítima no canal de Discord de um ator ameaçado com a mensagem “Trazido a você pelo The Anarchy Token Grabber”.
segurança
O MalwareHunterTeam, que encontrou essa nova variante e a compartilhou conosco, disse ao site BleepingComputer que “os skids estão compartilhando-os em todos os lugares”.

O que torna essas modificações do cliente Discord um problema é que, mesmo que o executável original do malware seja detectado, os arquivos do cliente já serão modificados.

Como o software de segurança faz um trabalho tão ruim na detecção dessas modificações do cliente, o código permanecerá residente na máquina sem que o usuário saiba que suas contas estão sendo roubadas.

O Discord precisa fazer verificações de integridade do cliente

Não é a primeira vez que um malware do Discord modifica os arquivos JavaScript do cliente.

Em outubro de 2019, a BleepingComputer deu a notícia de que um malware Discord estava modificando os arquivos do cliente para transformá-lo em um Trojan que rouba informações.

Na época, o Discord havia declarado que procuraria maneiras de impedir que isso acontecesse novamente, mas, infelizmente, esses planos nunca aconteceram.

A maneira correta como essas modificações podem ser detectadas é o Discord criar um hash de cada arquivo do cliente quando uma nova versão é lançada.

Assim, se um arquivo for modificado, o hash para esse arquivo específico será alterado.

O Discord pode, então, executar uma verificação de integridade do arquivo na inicialização e, se um arquivo tiver sido detectado, exibir uma mensagem alertando que o arquivo foi modificado.

Até que o Discord adicione a integridade do cliente à inicialização do cliente, as contas do Discord continuarão correndo o risco de malware que modifica os arquivos do cliente.

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Ads Blocker Image Powered by Code Help Pro

Bloqueador de anúncios detectado!!!

Nosso site precisa de publicidade para existir. Por favor, insira-o na lista de permissões/lista branca para liberar a exibição de anúncios e apoiar nosso site. Nosso conteúdo é GRATUITO, e tudo o que pedimos é isso!