Το AnarchyGrabber απειλεί την ασυμφωνία των χρηστών με την κλοπή κωδικών πρόσβασης, αναγνωριστικών, κωδικών

Ορισμένα στελέχη κακόβουλου λογισμικού κάνουν τα πρωτοσέλιδα μόλις εμφανιστούν επειδή χρησιμοποιούνται σε επιθέσεις υψηλού προφίλ που προκαλούν μεγάλη ζημιά. Το trojan AnarchyGrabber δεν είναι ένα από αυτά. Το κακόβουλο λογισμικό διανέμεται δωρεάν σε φόρουμ εισβολής για λίγους μήνες τώρα, αλλά δεν έχει τραβήξει την προσοχή των mainstream μέσων επειδή, στην αρχική του ενσάρκωση, δεν αντιπροσωπεύει πραγματικά τόσο μεγάλη απειλή για τους περισσότερους χρήστες του Διαδικτύου.

Το πρωτότυπο AnarchyGrabber στοχεύει τους χρήστες μιας υπηρεσίας VoIP που ονομάζεται Discord, η οποία είναι εξαιρετικά δημοφιλής στους παίκτες. Οι επιτιθέμενοι έχουν δει να αποκρύπτουν το κακόβουλο λογισμικό ως παιχνίδι εξαπάτησης ή ως εργαλείο χάραξης. Εάν ένα θύμα πάρει το δόλωμα, το AnarchyGrabber τροποποιεί ένα από τα αρχεία JavaScript του Discord και κλέβει τα διακριτικά χρηστών της υπηρεσίας VoIP που είναι διαθέσιμα στο μολυσμένο μηχάνημα. Χρησιμοποιώντας αυτά τα διακριτικά, οι εισβολείς μπορούν να συνδεθούν στους λογαριασμούς Discord του θύματος και, μεταξύ άλλων, να τους πλαστοπροσωπήσουν. Σε αυτήν τη μορφή, το trojan δεν είναι ακριβώς ακίνδυνο, αλλά επειδή η ζημιά περιορίζεται στην πλατφόρμα Discord, δεν είναι ούτε η πιο επικίνδυνη απειλή. Ωστόσο, μια πρόσφατη ενημέρωση θα μπορούσε να το κάνει περισσότερο πρόβλημα.

Οι χάκερ ενημερώνουν το AnarchyGrabber και περιλαμβάνουν δυνατότητες κλοπής κωδικών πρόσβασης

Την περασμένη εβδομάδα, ερευνητές από το MalwareHunterTeam ανακάλυψαν μια νέα έκδοση του AnarchyGrabber. Το διαβίβασαν σε ειδικούς του Bleeping Computer που το ανέλυσαν και δημοσίευσαν μια έκθεση. Αποδεικνύεται ότι οι χάκερς έχουν προσθέσει μερικές νέες δυνατότητες στο κακόβουλο λογισμικό που μπορούν να το μετατρέψουν σε ένα ισχυρό όπλο.

Για άλλη μια φορά, μετά την εγκατάσταση, το AnarchyGrabber εισάγει κάποιο κακόβουλο κώδικα σε ένα από τα αρχεία JS του Discord. Αυτή τη φορά, ωστόσο, το κακόβουλο λογισμικό δεν ακολουθεί το διακριτικό χρήστη του θύματος, αλλά τον κωδικό πρόσβασης απλού κειμένου. Μετά την επιτυχή εγκατάσταση, το AnarchyGrabber αποσυνδέει το θύμα από τον λογαριασμό του και τους ζητά να συνδεθούν ξανά. Ο trojan καταγράφει τη διεύθυνση email και τον κωδικό πρόσβασης και συλλέγει άλλες πληροφορίες όπως το όνομα σύνδεσης, το διακριτικό χρήστη και το IP του θύματος. Όλα αυτά αποστέλλονται σε ένα κανάλι Discord που ελέγχεται από τους χειριστές του AnarchyGrabber. Όταν ο χρήστης συνδεθεί με επιτυχία, το trojan προσπαθεί επίσης να απενεργοποιήσει τον έλεγχο ταυτότητας δύο παραγόντων.

Η νέα έκδοση του AnarchyGrabber είναι εξαιρετικά κρυφή

Δεν έχουμε ακόμη δει αν το AnarchyGrabber καταφέρνει να αποφύγει τον εντοπισμό από μερικές από τις δημοφιλείς λύσεις κατά του κακόβουλου λογισμικού. Αυτό που είναι σίγουρο είναι ότι εάν το προϊόν ασφαλείας σας δεν το ανιχνεύσει, είναι πολύ απίθανο να μάθετε ότι σας έχουν πληγεί. Σύμφωνα με τον Bleeping Computer, ο μόνος τρόπος για να μάθετε αν η AnarchyGrabber έχει μολύνει τον υπολογιστή σας ή όχι είναι να ελέγξετε τα αρχεία JS του Discord και να δείτε αν έχουν γίνει τροποποιήσεις σε αυτά. Αυτό δεν είναι καλά νέα γιατί, με τη νέα έκδοση του AnarchyGrabber, ο λογαριασμός Discord δεν είναι το μόνο πράγμα που τίθεται σε κίνδυνο.

Πράγματι, οι μοναδικοί κωδικοί πρόσβασης που κλέβει το AnarchyGrabber είναι αυτός για τους λογαριασμούς Discord των θυμάτων, αλλά όπως όλοι γνωρίζουμε, η επαναχρησιμοποίηση κωδικών εξακολουθεί να αποτελεί πρόβλημα και οι επιθέσεις παραμόρφωσης διαπιστευτηρίων εξακολουθούν να είναι ένας από τους πιο αποτελεσματικούς τρόπους συμβιβασμού μεγάλου αριθμού λογαριασμών σε πολλές διαφορετικές υπηρεσίες.

Μέχρι πρόσφατα, τα άτομα που τρέχουν το AnarchyGrabber φάνηκε να είναι ευχαριστημένα με το να χτυπούν μόνο λογαριασμούς Discord των θυμάτων, αλλά οι νέες δυνατότητες που προστέθηκαν δείχνουν ότι θέλουν να επεκτείνουν τη λειτουργία τους τώρα. Οι χρήστες της υπηρεσίας επικοινωνίας θα πρέπει πιθανώς να το έχουν αυτό υπόψη.