La revista Bleeping Computer advierte que la nueva versión del troyano anarquygrabber roba contraseñas y tokens, Deshabilita 2FAS y distribuye el malware a los amigos de la víctima. Además, Los atacantes modifican y usan el cliente oficial de Discord como herramienta para robar contraseñas.
Como una regla, Los atacantes difundieron anarquygrabber a través de la discordia, pasar por un troyano para un juego de juego, herramienta de hacker o software pirateado. Si la víctima queda atrapada en este truco de phishing, Después de instalar el troyano, Modifica los archivos JavaScript del cliente de Discord para convertirlo en un malware que puede robar el token del usuario. Usando esta token, Los piratas informáticos tienen la oportunidad de ingresar a Discord en nombre de su víctima.
Sin embargo, Una nueva versión de Anarchygrabber que fue vista la semana pasada, posee una serie de nuevas características.
"Ahora el malware se llama anarchygrabber3, Roba a las víctimas’ Contraseñas en texto plano, y también puede usar el cliente de discordia infectado para difundir la amenaza a todos los amigos de las víctimas. Las contraseñas robadas de esta manera se pueden usar para piratear cuentas en otros sitios ”, – Informar periodistas de computadoras de Bleeping.
Después de la instalación, Anarchygrabber3 usa el %AppData%\Discord\[versión]\modules\discord_desktop_core\index.js Archivo del cliente Discord para cargar otros archivos JavaScript agregados por el malware. Como puede ver en la ilustración a continuación, Cuando empiezas a Discord, Un script modificado carga un archivo llamado inject.js desde la nueva carpeta 4N4RCHY.
Entonces este archivo cargará otro archivo malicioso en el cliente – discordmod.js. Estos scripts inician sesión en el usuario del cliente de discordia y les solicitan que vuelvan a ingresar a la aplicación.
Tan pronto como la víctima inicia sesión, El cliente de Discord modificado intenta deshabilitar la autenticación de dos factores para la cuenta. El cliente luego usa un gancho web para enviar una dirección de correo electrónico, nombre de usuario, simbólico, Contraseña de texto sin formato, y dirección IP a un canal especial de discordia que controlan a los atacantes.
Después de eso, El cliente de Discord "corregido" espera más comandos de sus operadores. Uno de ellos puede ordenar a los clientes de Discord que envíen mensajes maliciosos con el mismo malware a todos los amigos de la víctima.
Los investigadores escriben que este componente hace que sea más fácil para los delincuentes difundir anarquygrabber3, y también se puede usar para difundir otros tipos de malware.
La publicación advierte que el principal peligro de la anarquía es que la mayoría de sus víctimas ni siquiera saben que estaban infectados.. Así que, Después de iniciar el archivo ejecutable anarchygrabber3 y cambiar los archivos del cliente de discordia, El troyano prácticamente no se manifiesta y no comienza de nuevo. Eso es, Simplemente no hay un proceso malicioso que un antivirus pueda detectar, y una computadora infectada sigue siendo parte de la botnet.
De hecho, La única forma de desinstalar anarchygrabber3 es desinstalar el cliente de discordia y reinstalarlo.
En el contexto de este caso, recordaría que los servicios de medidor de contraseña también poner en riesgo a los usuarios de Internet.
