AnarchyGrabber amenaza la seguridad de los usuarios de Discord al robar contraseñas, identificaciones y tokens

Algunas cepas de malware aparecen en los titulares tan pronto como aparecen porque se usan en ataques de alto perfil que causan mucho daño. El troyano AnarchyGrabber no es uno de ellos. El malware se ha distribuido de forma gratuita en foros de piratería desde hace unos meses, pero realmente no ha captado la atención de los principales medios porque, en su encarnación original, en realidad no representa una gran amenaza para la mayoría de los usuarios de Internet.

El AnarchyGrabber original apunta a los usuarios de un servicio VoIP llamado Discord, que es extremadamente popular entre los jugadores. Se ha visto a los atacantes enmascarando el malware como un truco del juego o una herramienta de piratería. Si una víctima muerde el anzuelo, AnarchyGrabber modifica uno de los archivos JavaScript de Discord y roba los tokens de usuario del servicio VoIP disponibles en la máquina infectada. Con estos tokens, los piratas informáticos pueden iniciar sesión en las cuentas de Discord de la víctima y, entre otras cosas, hacerse pasar por ellos. De esta forma, el troyano no es exactamente inofensivo, pero como el daño se limita a la plataforma Discord, tampoco es la amenaza más peligrosa. Sin embargo, una actualización reciente podría hacerlo más problemático.

Los hackers actualizan AnarchyGrabber e incluyen capacidades de robo de contraseñas

La semana pasada, investigadores de MalwareHunterTeam descubrieron una nueva versión de AnarchyGrabber. Se lo pasaron a expertos de Bleeping Computer que lo analizaron y publicaron un informe. Resulta que los piratas informáticos han agregado algunas características nuevas al malware que puede convertirlo en un arma poderosa.

Una vez más, después de la instalación, AnarchyGrabber inyecta un código malicioso en uno de los archivos JS de Discord. Esta vez, sin embargo, el malware no busca el token de usuario de la víctima sino su contraseña de texto sin formato. Después de la instalación exitosa, AnarchyGrabber desconecta a la víctima de su cuenta y le pide que vuelva a iniciar sesión. El troyano registra la dirección de correo electrónico y la contraseña y recopila otra información como el nombre de inicio de sesión, el token de usuario y la IP de la víctima. Todo esto se envía a un canal de Discord controlado por los operadores de AnarchyGrabber. Cuando el usuario inicia sesión correctamente, el troyano también intenta deshabilitar la autenticación de dos factores.

La nueva versión de AnarchyGrabber es extremadamente sigilosa

Todavía tenemos que ver si AnarchyGrabber logra evadir la detección de algunas de las populares soluciones antimalware. Lo que es seguro es que si su producto de seguridad no lo detecta, es muy poco probable que sepa que ha sido golpeado. Según Bleeping Computer, la única forma de saber si AnarchyGrabber ha infectado o no su computadora es verificar los archivos JS de Discord y ver si se han realizado modificaciones en ellos. Estas no son buenas noticias porque, con la nueva versión de AnarchyGrabber, su cuenta de Discord no es lo único que está en riesgo.

De hecho, las únicas contraseñas que AnarchyGrabber roba son las de las cuentas Discord de las víctimas, pero como todos sabemos, la reutilización de contraseñas sigue siendo un problema, y los ataques de relleno de credenciales siguen siendo una de las formas más efectivas de comprometer una gran cantidad de cuentas en muchos servicios diferentes.

Hasta hace poco, las personas que dirigían AnarchyGrabber parecían estar contentas con golpear solo las cuentas de Discord de las víctimas, pero las características recientemente agregadas sugieren que ahora quieren expandir sus operaciones. Los usuarios del servicio de comunicación probablemente deberían tener esto en cuenta.