Хакеры превратили Discord в инструмент для кражи паролей

Рекомендуем почитать: image

Xakep #279. Флуктуация шелл-кода

  • Содержание выпуска
  • Подписка на «Хакер»-70%

Издание Bleeping Computer предупреждает, что новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы. И для всего этого злоумышленники модифицируют официальный клиент Discord.

Как правило, злоумышленники распространяют AnarchyGrabber через Discord, выдавая трояна за игровой чит, хакерский инструмент или пиратский софт. Если жертва клюнула на эту удочку, после установки троян модифицирует JavaScript-файлы клиента Discord, чтобы превратить его в малварь, которая способна похитить токен пользователя. Используя этот токен, хакеры получают возможность войти в Discord под видом своей жертвы.

Однако на прошлой неделе была замечена новая версия AnarchyGrabber, содержащая ряд новых функций. Теперь малварь носит название AnarchyGrabber3, похищает пароли жертв в формате простого текста, а также может использовать зараженный клиент Discord для дальнейшего распространения угрозы среди всех друзей пострадавшего. Отмечается, что похищенные таким способом пароли могут использоваться для взлома учетных записей на других сайтах.

После установки AnarchyGrabber3 использует файл %AppData%Discord[version]modulesdiscord_desktop_coreindex.js клиента Discord  для загрузки других JavaScript-файлов, добавленных малварью. Как видно на иллюстрации ниже, при запуске Discord модифицированный скрипт загружает файл с именем inject.js из новой папки 4n4rchy.

image

Затем этот файл загрузит в клиент другой вредоносный файл — discordmod.js. Эти скрипты разлогинивают пользователя из клиента Discord и предлагают ему войти в приложение заново.

Как только жертва осуществляет вход, модифицированный клиент Discord пытается отключить двухфакторную аутентификацию для учетной записи. Затем клиент использует веб-хук для передачи адреса электронной почты, имени пользователя, токена, обычного текстового пароля и IP-адреса на специальный канал Discord, находящийся под контролем злоумышленников.

После этого «подправленный» клиент Discord ждет дальнейших команд от своих операторов. Одна из них может приказать взломанным клиентам Discord разослать вредоносные сообщения всем друзьям жертвы, содержащее все ту же малварь. Исследователи пишут, что этот компонент облегчает преступникам распространение AnarchyGrabber3, а также может применяться для распространения других типов вредоносных программ.

Издание предупреждает, что основная опасность AnarchyGrabber заключается в том, что большинство его жертв даже не знают о том, что были заражены. Так, после запуска исполняемого файла AnarchyGrabber3 и изменения файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова. То есть вредоносного процесса, который мог бы обнаружить антивирус, попросту нет, а зараженный компьютер все равно остается частью ботнета.

Фактически, единственный способ удалить AnarchyGrabber3 — это удалить клиент Discord и установить его заново.

Информационная безопасность *Разработка под Windows * Фото: www.bleepingcomputer.com В клиенте Discord начало распространяться новое вредоносное ПО NitroHack. Оно позволяет красть учетные записи. Распространение этого ПО стало возможным благодаря изменениям файлов JavaScript, используемых клиентом. Пользователям приходит сообщение с предложением о бесплатной премиальной услуге Discord Nitro. Когда пользователь открывает файл, ПО крадет токены, сохраненные в различных браузерах, а также информацию о кредитной карте и прочие данные. Вредонос распространяется через зараженные аккаунты, используя их контакты, путем личных сообщений друзьям. Фото: www.bleepingcomputer.com В MalwareHunterTeam, которая обнаружила ПО на прошлой неделе, объяснили, как это работает. Если пользователь загружает переданный ему файл и запускает его, NitroHack изменит % AppData%\Discord.0.306modulesdiscord_voiceindex.js и добавит снизу вредоносный код. Он пытается изменить один и тот же файл JavaScript в клиентах Discord Canary и Discord Public Test Build. Ниже приведены оригинальный файл discord_voiceindex.js и его измененная версия: Фото: www.bleepingcomputer.com Путем модификации файла вредоносная программа сможет отправлять токены жертвы на Discord-канал атакующего каждый раз, когда пользователь запускает клиент. NitroHack копирует базы данных Chrome, Discord, Opera, Brave, Яндекс Браузер, Vivaldi и Chromium и сканирует их на наличие токенов Discord. Фото: www.bleepingcomputer.com Чтобы попытаться украсть данные кредитных карт, вредоносная программа пытается подключиться к URL-адресу discordapp.com/api/v6/users/@me/billing/payment-source и получить сохраненную информацию о платеже. Ранее ИБ-эксперты обнаружили новую версию вредоносного ПО AnarchyGrabber, которое также модифицировало клиент Discord для выполнения вредоносной деятельности. Оно воровало пароли пользователей, а затем использовало их аккаунты для дальнейшего распространения. Прошлой осенью специалисты выявили вредоносную программу Spidey Bot, которая также путем модификации ключевых файлов позволяла использовать клиент Discord для шпионажа и кражи информации. Таким образом, хакеры могли украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО. Исследователи видят опасность такого поведения в том, что вредонос путем цепочки действий заражает клиент, но затем не запускается снова, и определители вредоносного софта могут просто не обнаружить его. Даже если антивирус найдет исполняемый файл Nitro Hack, маловероятно, что он обнаружит модификацию клиента. Чтобы проверить, не заражен ли клиент Discord, нужно открыть %AppData%\Discord.0.306modulesdiscord_voiceindex.js в Блокноте и убедиться, что в конце файла нет изменений. Обычный немодифицированный файл заканчивается следующей строкой: module.exports = VoiceEngine; Удалить вредоносный код из файла index.js можно вручную. Либо необходимо переустановить сам клиент Discord.

См. также:

  • «Discord как корпоративный мессенджер и не только»
  • «Создание простого Discord бота с помощью библиотеки discord.py»
  • «Почему Discord переходит с Go на Rust»

Оцените статью
Рейтинг автора
4,8
Материал подготовил
Егор Новиков
Наш эксперт
Написано статей
127
А как считаете Вы?
Напишите в комментариях, что вы думаете – согласны
ли со статьей или есть что добавить?
Добавить комментарий