AnarchyGrabber minaccia la sicurezza degli utenti Discord rubando password, ID, token

Alcuni ceppi di malware fanno notizia non appena compaiono perché vengono utilizzati in attacchi di alto profilo che causano molti danni. Il Trojan AnarchyGrabber non è uno di questi. Il malware è stato distribuito gratuitamente sui forum di hacking da alcuni mesi, ma non ha davvero attirato l'attenzione dei media mainstream perché, nella sua incarnazione originale, non rappresenta davvero una grande minaccia per la maggior parte degli utenti di Internet.

L'originale AnarchyGrabber si rivolge agli utenti di un servizio VoIP chiamato Discord, che è estremamente popolare tra i giocatori. Gli aggressori sono stati visti mascherare il malware come un trucco di gioco o uno strumento di hacking. Se una vittima prende l'esca, AnarchyGrabber modifica uno dei file JavaScript di Discord e ruba i token utente del servizio VoIP disponibili sulla macchina infetta. Usando questi token, gli hacker possono accedere agli account Discord della vittima e, tra le altre cose, impersonarli. In questa forma, il trojan non è esattamente innocuo, ma poiché il danno è limitato alla piattaforma Discord, non è nemmeno la minaccia più pericolosa. Un recente aggiornamento potrebbe tuttavia renderlo più problematico.

Gli hacker aggiornano AnarchyGrabber e includono funzionalità di furto di password

La scorsa settimana, i ricercatori di MalwareHunterTeam hanno scoperto una nuova versione di AnarchyGrabber. Lo hanno trasmesso agli esperti di Bleeping Computer che lo hanno analizzato e pubblicato un rapporto. Si scopre che gli hacker hanno aggiunto alcune nuove funzionalità al malware che possono trasformarlo in un'arma potente.

Ancora una volta, dopo l'installazione, AnarchyGrabber inserisce del codice dannoso in uno dei file JS di Discord. Questa volta, tuttavia, il malware non segue il token utente della vittima, ma piuttosto la sua password in chiaro. Dopo la corretta installazione, AnarchyGrabber disconnette la vittima dal proprio account e chiede di ricollegarsi. Il trojan registra l'indirizzo e-mail e la password e raccoglie altre informazioni come il nome di accesso, il token utente e l'IP della vittima. Tutto questo viene inviato a un canale Discord controllato dagli operatori di AnarchyGrabber. Quando l'utente accede correttamente, il trojan tenta anche di disabilitare l'autenticazione a due fattori.

La nuova versione di AnarchyGrabber è estremamente furtiva

Dobbiamo ancora vedere se AnarchyGrabber riesce a sfuggire al rilevamento da alcune delle popolari soluzioni anti-malware. Ciò che è certo è che se il tuo prodotto di sicurezza non lo rileva, è molto improbabile che tu sappia che sei stato colpito. Secondo Bleeping Computer, l'unico modo per sapere se AnarchyGrabber ha infettato o meno il tuo computer è controllare i file JS di Discord e vedere se sono state apportate modifiche. Questa non è una buona notizia perché, con la nuova versione di AnarchyGrabber, il tuo account Discord non è l'unica cosa a rischio.

In effetti, le uniche password che AnarchyGrabber ruba è quella per gli account Discord delle vittime, ma come tutti sappiamo, il riutilizzo delle password continua a essere un problema e gli attacchi di riempimento delle credenziali continuano ad essere tra i modi più efficaci per compromettere un gran numero di account a molti servizi diversi.

Fino a poco tempo fa, le persone che gestivano AnarchyGrabber sembravano felici di colpire solo gli account Discord delle vittime, ma le nuove funzionalità aggiunte suggeriscono che ora vogliono espandere le loro operazioni. Gli utenti del servizio di comunicazione dovrebbero probabilmente tenerne conto.