AnarchyGrabber bedreigt de veiligheid van onenigheidsgebruikers door wachtwoorden, ID's en tokens te stelen

Sommige malwarestammen halen de krantenkoppen zodra ze verschijnen, omdat ze worden gebruikt bij spraakmakende aanvallen die veel schade aanrichten. De AnarchyGrabber-trojan is er niet een van. De malware wordt nu al een paar maanden gratis verspreid op hackfora, maar heeft niet echt de aandacht van de reguliere media getrokken, omdat het in zijn oorspronkelijke incarnatie niet echt een grote bedreiging vormt voor de meeste internetgebruikers.

De originele AnarchyGrabber richt zich op gebruikers van een VoIP-service genaamd Discord, die enorm populair is bij gamers. De aanvallers maskeren de malware als een cheat of een hacktool. Als een slachtoffer het aas neemt, wijzigt AnarchyGrabber een van de JavaScript-bestanden van Discord en steelt de VoIP-service-gebruikerstokens die beschikbaar zijn op de geïnfecteerde machine. Met behulp van deze tokens kunnen de hackers inloggen op de Discord-accounts van het slachtoffer en ze onder andere nabootsen. In deze vorm is de trojan niet bepaald onschadelijk, maar aangezien de schade beperkt is tot het Discord-platform, is het ook niet de gevaarlijkste bedreiging. Een recente update zou het echter meer een probleem kunnen maken.

Hackers werken AnarchyGrabber bij en bevatten functies voor het stelen van wachtwoorden

Vorige week ontdekten onderzoekers van MalwareHunterTeam een nieuwe versie van AnarchyGrabber. Ze gaven het door aan experts van Bleeping Computer die het analyseerden en een rapport publiceerden. Het blijkt dat de hackers een paar nieuwe features aan de malware hebben toegevoegd die er een krachtig wapen van kunnen maken.

Nogmaals, na installatie, injecteert AnarchyGrabber wat kwaadaardige code in een van Discord's JS-bestanden. Deze keer zit de malware echter niet achter het gebruikerstoken van het slachtoffer, maar eerder op hun wachtwoord in platte tekst. Na de succesvolle installatie logt AnarchyGrabber het slachtoffer uit bij hun account en vraagt hen opnieuw in te loggen. De trojan registreert het e-mailadres en wachtwoord en verzamelt andere informatie zoals de loginnaam, de gebruikerstoken en het IP-adres van het slachtoffer. Dit alles wordt verzonden naar een Discord-kanaal dat wordt beheerd door de operators van AnarchyGrabber. Wanneer de gebruiker zich succesvol aanmeldt, probeert de trojan ook tweefactorauthenticatie uit te schakelen.

De nieuwe versie van AnarchyGrabber is extreem onopvallend

We moeten nog zien of AnarchyGrabber erin slaagt detectie te omzeilen van enkele van de populaire anti-malwareoplossingen. Wat zeker is, is dat als uw beveiligingsproduct het niet detecteert, het zeer onwaarschijnlijk is dat u ontdekt dat u bent geraakt. Volgens Bleeping Computer is de enige manier om te weten of AnarchyGrabber uw computer heeft geïnfecteerd, het controleren van de JS-bestanden van Discord en te kijken of er wijzigingen in zijn aangebracht. Dit is geen goed nieuws, want met de nieuwe versie van AnarchyGrabber is uw Discord-account niet het enige dat gevaar loopt.

Inderdaad, de enige wachtwoorden die AnarchyGrabber steelt, zijn die voor de Discord-accounts van de slachtoffers, maar zoals we allemaal weten, blijft hergebruik van wachtwoorden een probleem en blijven aanvallen met inloggegevens een van de meest effectieve manieren om een groot aantal accounts te hacken bij veel verschillende diensten.

Tot voor kort leken de mensen die AnarchyGrabber runnen blij te zijn met alleen het raken van de Discord-accounts van slachtoffers, maar de nieuw toegevoegde functies suggereren dat ze hun activiteiten nu willen uitbreiden. Gebruikers van de communicatiedienst moeten hier waarschijnlijk rekening mee houden.