Hacker haben den Trojaner AnarchyGrabber auf eine neue Version aktualisiert, die in der Lage ist, Passwörter und Benutzertokens zu stehlen, 2FA zu deaktivieren und Malware an die Freunde eines Opfers zu verbreiten. Dies ist das zweite Update, das der Trojaner in diesem Jahr erhalten hat, da er auch im April aktualisiert wurde, um Discord-Client-Dateien zu modifizieren, um einer Erkennung durch Antivirensoftware zu entgehen und Benutzerkonten zu stehlen, wenn sich jemand mit dem beliebten Chat-Dienst verbindet. AnarchyGrabber wird kostenlos in Hacking-Foren und YouTube-Videos verbreitet, und der Trojaner wird von Cyberkriminellen auf Discord verwendet, die behaupten, es handele sich um einen Game-Hack, ein Hacking-Tool für urheberrechtlich geschützte Software. Stattdessen werden die JavaScript-Dateien des Discord-Clients modifiziert, um ihn in Malware umzuwandeln, die das Discord-Benutzertoken eines Opfers stehlen kann, das dann von einem Angreifer verwendet wird, um als Opfer eine Verbindung zum beliebten Chat-Dienst herzustellen. Hacker haben jetzt eine modifizierte Version des AnarchyGrabber-Trojaners mit aktualisierten und leistungsstärkeren Funktionen veröffentlicht.
AnarchyGrabber3
AnarchyGrabber3 ist eine neue Variante der beliebten Malware, die die Klartext-Passwörter eines Opfers stehlen und sogar einen infizierten Client anweisen kann, Malware an die Discord-Freunde des Opfers zu verbreiten. Da Angreifer mittlerweile Klartext-Passwörter stehlen, können sie diese auch bei Credential-Stuffing-Angriffen verwenden, um auch die anderen Online-Konten eines Opfers zu kompromittieren. Nach der Installation ändert AnarchyGrabber3 die index.js-Datei des Discord-Clients, um zusätzliche JavaScript-Dateien zu laden, darunter eine benutzerdefinierte inject.js aus einem 4n4rchy-Ordner sowie eine schädliche Datei namens discordmod.js. Die bösartigen Skripte trennen den Benutzer dann von Discord und fordern ihn auf, sich erneut zu verbinden. Wenn sich ein Opfer anmeldet, versucht der modifizierte Discord-Client, 2FA für sein Konto zu deaktivieren. Der Client verwendet dann einen Discord-Webhook, um die E-Mail-Adresse, den Anmeldenamen, das Benutzertoken, das Klartextkennwort und die IP-Adresse des Benutzers an einen vom Angreifer kontrollierten Discord-Kanal zu senden. . Der modifizierte Client wartet auch auf vom Angreifer gesendete Befehle, sobald das Opfer verbunden ist. Mit einem dieser Befehle lässt sich sogar eine Nachricht an alle Freunde des Opfers senden, die Malware enthält, die die Angreifer verbreiten wollen. Dieser Trojaner ist besonders gefährlich, da es für durchschnittliche Benutzer schwierig ist, zu erkennen, dass er infiziert ist, da die ausführbare AnarchyGrabber3-Datei nicht auf dem System eines Benutzers verbleibt oder nach der Änderung von Discord-Clientdateien nicht ausgeführt wird. Glücklicherweise lässt sich ganz einfach feststellen, ob Ihr System mit AnarchyGrabber3 infiziert wurde. Öffnen Sie einfach die Discord-Datei index.js in %AppData% Discord-Module discord_desktop_core mit Notepad und suchen Sie nach einer einzelnen Codezeile, die so aussieht: „module.exports = require('./core.asar')“. Wenn Ihr Client keinen anderen Code enthält, wurde er wahrscheinlich nicht mit dem Trojaner infiziert. Über BleepingComputer