AnarchyGrabber truer uenighet om brukernes sikkerhet ved å stjele passord, ID-er, tokens

Noen skadelige stammer lager overskriftene så snart de vises fordi de brukes i høyprofilerte angrep som forårsaker mye skade. The AnarchyGrabber trojan er ikke en av dem. Den skadelige programvaren har blitt distribuert gratis på hackeforum i noen måneder nå, men den har ikke virkelig fanget oppmerksomheten til mainstream media fordi den i sin opprinnelige inkarnasjon ikke virkelig representerer så mye av en trussel for de fleste internettbrukere.

Den opprinnelige AnarchyGrabber er rettet mot brukere av en VoIP-tjeneste kalt Discord, som er ekstremt populær blant spillere. Angriperne har blitt sett på som maskerer skadelig programvare som et spillfusk eller et hackingsverktøy. Hvis et offer tar agnet, endrer AnarchyGrabber en av Discords JavaScript-filer og stjeler VoIP-tjenestens bruker-symboler som er tilgjengelige på den infiserte maskinen. Ved hjelp av disse symbolene kan hackerne logge seg på offerets Discord-kontoer og blant annet etterligne dem. I denne formen er trojanen ikke akkurat ufarlig, men siden skadene er begrenset til Discord-plattformen, er den heller ikke den farligste trusselen. En fersk oppdatering kan imidlertid gjøre det mer av et problem.

Hackere oppdaterer AnarchyGrabber og inkluderer passord-stjelingfunksjoner

Forrige uke oppdaget forskere fra MalwareHunterTeam en ny versjon av AnarchyGrabber. De ga den videre til eksperter fra Bleeping Computer som analyserte den og publiserte en rapport. Det viser seg at hackerne har lagt til noen nye funksjoner i skadelig programvare som kan gjøre det til et kraftig våpen.

Nok en gang injiserer AnarchyGrabber noen ondsinnet kode i en av Discords JS-filer etter installasjonen. Denne gangen er skadelig programvare imidlertid ikke etter offerets brukertoken, men heller vanlig tekstpassord. Etter den vellykkede installasjonen, logger AnarchyGrabber offeret ut av kontoen sin og ber dem om å logge seg på igjen. Trojan registrerer e-postadressen og passordet og samler inn annen informasjon som påloggingsnavnet, brukerens token og offerets IP. Alt dette blir sendt til en Discord-kanal kontrollert av AnarchyGrabbers operatører. Når brukeren logger seg på, prøver trojan også å deaktivere tofaktorautentisering.

AnarchyGrabbers nye versjon er ekstremt stealthy

Vi har ennå til å se om AnarchyGrabber klarer å unngå deteksjon fra noen av de populære anti-malware-løsningene. Det som er sikkert, er at hvis sikkerhetsproduktet ditt ikke oppdager det, er det lite sannsynlig at du vil vite at du har blitt truffet. I følge Bleeping Computer er den eneste måten å vite om AnarchyGrabber har infisert datamaskinen din eller ikke, å sjekke Discords JS-filer og se om det er gjort endringer i dem. Dette er ikke gode nyheter fordi, med AnarchyGrabbers nye versjon, er ikke Discord-kontoen din det eneste som er utsatt.

De eneste passordene AnarchyGrabber stjeler, er riktignok det for ofrenes Discord-kontoer, men som vi alle vet, gjenbruk av passord fortsetter å være et problem, og legitimasjonsstoppningsangrep er fortsatt en av de mest effektive måtene å kompromittere et stort antall kontoer på mange forskjellige tjenester.

Inntil nylig syntes folket som driver AnarchyGrabber å være fornøyd med å treffe ofrenes Discord-kontoer, men de nylig tillagte funksjonene antyder at de ønsker å utvide driften nå. Brukere av kommunikasjonstjenesten bør sannsynligvis huske dette.