Популярная троянская вредоносная программа, известная как AnarchyGrabber, была обновлена до новой версии, которая способна не только красть пароли от пользователей Discord, но и целый ряд новых угроз. Сначала BleepingComputer предупредил нас о новом выпуске AnarchyGrabber3 и о том, как определить, была ли нарушена ваша Discord
Обновленная версия AnarchyGrabber3 может не только украсть пароль пользователя, но и отключить двухфакторную аутентификацию пользователя, прежде чем пытаться распространить вредоносное ПО среди тех, кто находится в списке друзей пользователя. Сам пароль украден в виде простого текста, поэтому злоумышленники могут легко увидеть учетные данные пользователя, прежде чем пытаться использовать их для взлома учетных записей в других службах. Это только часть того, почему важно не использовать тот же пароль, который вы используете на других сайтах.
Discord празднует 250 миллионов пользователей (+120 с мая 2018 года) через четыре года после своего основания
AnarchyGrabber3 обычно является плагином без вывода сообщений, пока вредоносный скрипт не будет активирован. После активации он начинает загружать другие файлы JavaScript, которые вначале запускаются путем выхода пользователя из его клиента Discord и предлагает им снова войти в систему. Как только пользователь это сделает, AnarchyGrabber3 автоматически попытается отключить двухфакторную аутентификацию в учетной записи пользователя. а затем воспользоваться услугами веб-крючка Discord для отправки не только адреса электронной почты и имени пользователя на скомпрометированный сервер, но также IP-адреса, токена пользователя и их пароля, сохраненных в виде простого текста. Он также может прослушивать удаленные команды и отправлять сообщения от скомпрометированного пользователя тем, кто находится в его списке друзей.
Командование клиентов раздора жертвы распространять вредоносное ПО [Источник: BleepingComputer]
Как только клиент Discord был изменен, AnarchyGrabber3 больше не запускается. Это может затруднить обнаружение угрозы антивирусным программным обеспечением, поскольку нет активных вредоносных процессов, которые можно обнаружить. Тем самым он может гарантировать, что жертва останется скомпрометированной и активной как часть ботнета.
Итак, как вы можете проверить, не был ли ваш клиент Discord скомпрометирован с AnarchyGrabber3? К счастью, есть простой способ обнаружить любые изменения, и он просто требует использования Блокнота. Перейдя к папке% AppData% \ Discord \ [version] \ modules \ discord_desktop_core \ index.js и открыв ее с помощью Блокнота, вы можете проверить, не было ли каких-либо изменений в файле. Чистый файл index.js будет содержать только одну строку кода, как показано ниже: module.exports = require (‘./ core.asar’) ;.
В настоящее время единственный способ удалить AnarchyGrabber3 состоит в том, чтобы просто удалить и переустановить клиент Discord, обеспечивая тем самым новую установку плагинов и исполняемого файла.