Хакеры обновили трояна AnarchyGrabber до новой версии, способной красть пароли и пользовательские токены, отключать двухфакторную аутентификацию и распространять вредоносное ПО среди друзей жертвы. Это второе обновление, которое троянец получил в этом году, так как в апреле он также был обновлен для изменения файлов клиента Discord, чтобы избежать обнаружения антивирусным программным обеспечением и для кражи учетных записей пользователей всякий раз, когда кто-то подключается к популярному сервису чата. AnarchyGrabber бесплатно распространяется на хакерских форумах и видео на YouTube, троянец используется киберпреступниками в Discord, которые утверждают, что это взлом игры, инструмент для взлома защищенного авторским правом программного обеспечения. Вместо этого он изменяет файлы JavaScript клиента Discord, превращая их в вредоносное ПО, которое может украсть токен пользователя Discord жертвы, который затем используется злоумышленником для подключения к популярному сервису чата в качестве жертвы. Хакеры выпустили модифицированную версию троянца AnarchyGrabber с обновленными и более мощными функциями.
АнархияГраббер3
AnarchyGrabber3 — это новый вариант популярного вредоносного ПО, которое может украсть незашифрованные пароли жертвы и даже заставить зараженный клиент распространить вредоносное ПО среди друзей жертвы в Discord. Поскольку злоумышленники теперь крадут пароли в открытом виде, они также могут использовать их в атаках с подменой учетных данных, чтобы скомпрометировать и другие онлайн-аккаунты жертвы. После установки AnarchyGrabber3 изменит файл index.js клиента Discord для загрузки дополнительных файлов JavaScript, включая пользовательский файл inject.js из папки 4n4rchy, а также вредоносный файл с именем discordmod.js. Затем вредоносные сценарии отключат пользователя от Discord и попросят его повторно подключиться. Когда жертва входит в систему, модифицированный клиент Discord пытается отключить 2FA в своей учетной записи. Затем клиент использует веб-перехватчик Discord для отправки адреса электронной почты пользователя, имени для входа, токена пользователя, открытого текста пароля и IP-адреса на канал Discord, контролируемый злоумышленником. . Модифицированный клиент также будет прослушивать команды, отправленные злоумышленником после подключения жертвы. Одну из этих команд можно даже использовать для отправки всем друзьям жертвы сообщения, содержащего вредоносное ПО, которое злоумышленники хотят распространить. Этот троянец особенно опасен, потому что обычным пользователям трудно понять, что они заражены, потому что исполняемый файл AnarchyGrabber3 не остается в системе пользователя или не запускается после изменения файлов клиента Discord. К счастью, довольно легко увидеть, заражена ли ваша система AnarchyGrabber3. Просто откройте файл Discord index.js в модулях %AppData% Discord discord_desktop_core с помощью Блокнота и найдите одну строку кода, которая выглядит следующим образом: «module.exports = require('./core.asar')». Если ваш клиент не содержит никакого другого кода, возможно, он не заражен трояном. Через BleepingComputer