MalwareHunterTeam ha scoperto una nuova variante del malware AnarchyGrabber che modifica i file del client Discord per evitare il rilevamento e ruba gli account utente ogni volta che qualcuno si connette al popolare servizio di chat. Il malware viene distribuito su forum di hacking e video di YouTube per consentire ai criminali informatici di rubare token utente per un utente Discord che ha effettuato l'accesso una volta eseguito. Questi token utente vengono caricati su un canale Discord sotto il controllo dell'aggressore, dove possono essere raccolti e utilizzati per accedere come vittime. La versione originale di AnarchyGrabber si presenta sotto forma di un eseguibile che viene facilmente rilevato dal software di sicurezza e ha la capacità di rubare solo token durante la sua esecuzione. Tuttavia, una versione più recente del malware è stata modificata per evitare il rilevamento e stabilire la persistenza sulla macchina di un utente.
AnarchyGrabber2
Per rendere più difficile il rilevamento del malware da parte del software antivirus e la persistenza, un hacker ha aggiornato AnarchyGrabber per modificare i file JavaScript utilizzati dal client Discord per iniettare il suo codice a ogni esecuzione. La nuova versione del malware è stata soprannominata AnarchyGrabber2 e, una volta eseguita, modificherà il file index.js di Discord per iniettare JavaScript creato dal suo sviluppatore. Le nuove modifiche al malware gli consentono di eseguire ulteriori file JavaScript dannosi ogni volta che un utente apre Discord. Una volta che un utente su cui AnarchyGrabber2 è in esecuzione sul proprio sistema si connette a Discord, gli script utilizzano un webhook per pubblicare il token utente della vittima sul canale Discord dell'attaccante con il messaggio "Presentato da The Token Grabber of anarchy". Sfortunatamente, anche se l'eseguibile del malware originale viene rimosso, i file del client saranno già modificati. Il software di sicurezza ha difficoltà a rilevare queste modifiche del client, consentendo al codice di rimanere sulla macchina di un utente senza che questi sappia che i loro account sono stati rubati. Fino a quando Discord non deciderà di aggiungere l'integrità del client al proprio software, gli account Discord continueranno a essere minacciati da AnarchyGrabber2 e altri malware che modificano i file dei client. Tramite BleepingComputer