Od wielu miesięcy po sieci krąży malware o nazwie AnarchyGrabber, który kradnie hasła, wyłącza dwustopniową weryfikację i roznosi swój kod dalej. Teraz pojawiła się nowa wersja, która może się rozprzestrzeniać przez aplikację Discord.
AnarchyGrabber to popularny trojan, który na wielu stronach hakerskich jest dostępny całkowicie za darmo. Na YouTubie można też znaleźć wiele filmików, które instruują, jak z niego korzystać i jak za jego pomocą wykraść dane innego użytkownika. Często jest też dystrybuowany jako cheaty do gier, a nawet rzekomo legalne oprogramowanie.
Teraz do sieci trafiła nowa wersja programu o nazwie AnarchyGrabber3. To usprawniona wersja, która cały czas wykorzystuje program Discord. Za jego pomocą kradnie nasze hasła i rozprzestrzenia się dalej. Obecność malware można rozpoznać po zmodyfikowanym pliku index.js, który znajduje się w folderze „%AppData%\Discord\[version]\modules\discord_desktop_core\index.js”. Plik uruchamia inne pliki .js z folderu 4n4rchy.
Zmodyfikowany Discord będzie próbował wyłączyć 2-stopniową weryfikację konta, a także wykraść niezabezpieczone hasła, adres IP, adres e-mail, token, a nawet login. Zainfekowana wersja komunikatora słucha też poleceń atakującego i w ten sposób może być rozprowadzana dalej, w prywatnych wiadomościach do znajomych na Discordzie. Niestety, sami nie jesteśmy w stanie tego zauważyć. AnarchyGrabber3 dobrze się kryje.
Jeśli chcecie sprawdzić czy przypadkiem nie jesteście zainfekowany, to najlepiej otwórzcie wspominany plik index.js w notatniku. Normalnie powinna się w nim znajdować pojedyncza linia kodu o treści:
module.exports = require(’./core.asar’);
