Новый троянец
Через геймерский мессенджер Discord распространяется видоизмененный троянец AnarchyGrabber, крадущий пароли и пользовательские токены, а также распространяющийся дальше по контактному листу. Как пишет издание Bleeping Computer, AnarchyGrabber — популярный троянец, который раздается бесплатно на хакерских форумах.
На Youtube есть немало видео, где описывается, как с помощью этого троянца красть токены пользовательских сессий в Discord. В описаниях под видео встречаются ссылки на этот вредонос. Злоумышленники рассылают его потенциальным жертвам через Discord под видом читов к играм, хакерских инструментов или пиратского ПО.
Сразу после установки в систему жертвы троянец модифицирует файлы JavaScript, относящиеся к клиенту Discord, благодаря чему становится возможным красть токены сессий. Эти токены позволяют посторонним заходить в Discord под именем жертвы атаки.
На днях была выпущена новая модификация вредоноса, способная перехватывать пользовательские пароли в нешифрованном виде, а также заставлять зараженный клиент Discord рассылать копии вредоноса по списку френдов пользователя. Перехваченные пароли потом могут быть использованы для атак на аккаунты в других ресурсах — пользователи довольно часто используют очень похожие пароли в нескольких местах сразу.
JavaScript и никаких процессовВредонос видоизменяет файл %AppData%\Discord\[version]\modules\discord_desktop_core\index.js так, чтобы тот подгружал дополнительные файлы JavaScript — в частности inject.js и затем discordmod.js. Эти скрипты разлогинивают пользователя и пытаются отключить двухфакторную авторизацию в клиенте после повторного входа пользователя в свой аккаунт. Далее используется система оповещения Webhook для отправки почтового адреса, IP-адреса, логина, пользовательского токена и пароля в канал Discord под управлением злоумышленников. Плюс к этом модифицированный клиент Discord на компьютере жертвы будет выполнять поступающие команды злоумышленников, в том числе, например, на рассылку всем контактам пользователя копии вредоносов — либо все того же троянца, либо какой-то другой программы.
Злоумышленники превращают клиент Discord во вредоносную программуПользователи, скорее всего, даже не поймут, что они заражены. Вредоносный процесс как таковой отсутствует, антивирусы, скорее всего, не среагируют. Проверить, заражен ли пользователь Discord, можно только вручную. Для этого надо открыть файл index.js (%AppData%\Discord\[version]\modules\discord_desktop_core\index.js) и удостовериться, что строка module.exports выглядит следующим образом: module.exports = require('./core.asar').
Если это не так, то клиент Discord скомпрометирован. Проблему относительно легко можно решить путем переустановки клиента Discord, говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. «А чтобы предохраниться от дальнейших случаев заражения, не следует открывать никаких файлов, пересланных через Discord, не удостоверившись в источнике через другие каналы связи (по телефону или электронной почте)», — отмечает она.