AnarchyGrabber zagraża bezpieczeństwu niezgody poprzez kradzież haseł, identyfikatorów, tokenów

Niektóre odmiany złośliwego oprogramowania pojawiają się w nagłówkach, gdy tylko się pojawią, ponieważ są wykorzystywane w głośnych atakach, które powodują duże szkody. Trojan AnarchyGrabber nie jest jednym z nich. Złośliwe oprogramowanie jest dystrybuowane za darmo na forach hakerskich od kilku miesięcy, ale tak naprawdę nie zwróciło uwagi mediów głównego nurtu, ponieważ w swoim pierwotnym wcieleniu tak naprawdę nie stanowi tak dużego zagrożenia dla większości użytkowników Internetu.

Oryginalny AnarchyGrabber jest przeznaczony dla użytkowników usługi VoIP o nazwie Discord, która jest niezwykle popularna wśród graczy. Atakujący widzieli maskowanie złośliwego oprogramowania jako oszustwa w grze lub narzędzia hakerskiego. Jeśli ofiara bierze przynętę, AnarchyGrabber modyfikuje jeden z plików JavaScript Discord i kradnie tokeny użytkownika usługi VoIP dostępne na zainfekowanej maszynie. Za pomocą tych tokenów hakerzy mogą zalogować się na konta Discord ofiary i, między innymi, podszyć się pod nich. W tej formie trojan nie jest dokładnie nieszkodliwy, ale ponieważ szkody są ograniczone do platformy Discord, nie jest to również najniebezpieczniejsze zagrożenie. Ostatnia aktualizacja może jednak sprawić, że będzie to większym problemem.

Hakerzy aktualizują AnarchyGrabber i zawierają funkcje kradzieży haseł

W zeszłym tygodniu badacze z MalwareHunterTeam odkryli nową wersję AnarchyGrabber. Przekazali go ekspertom z Bleeping Computer, którzy przeanalizowali go i opublikowali raport. Okazuje się, że hakerzy dodali do złośliwego oprogramowania kilka nowych funkcji, które mogą zmienić go w potężną broń.

Po raz kolejny AnarchyGrabber wstrzykuje złośliwy kod do jednego z plików JS Discorda. Tym razem jednak złośliwe oprogramowanie nie szuka tokena użytkownika ofiary, ale raczej hasło w postaci zwykłego tekstu. Po udanej instalacji AnarchyGrabber wylogowuje ofiarę z konta i prosi ją o ponowne zalogowanie. Trojan rejestruje adres e-mail i hasło oraz zbiera inne informacje, takie jak nazwa logowania, token użytkownika i adres IP ofiary. Wszystko to jest wysyłane do kanału Discord kontrolowanego przez operatorów AnarchyGrabber. Gdy użytkownik zaloguje się pomyślnie, trojan próbuje również wyłączyć uwierzytelnianie dwuskładnikowe.

Nowa wersja AnarchyGrabber jest wyjątkowo niewidzialna

Nie wiemy jeszcze, czy AnarchyGrabber zdoła uniknąć wykrycia przez niektóre z popularnych rozwiązań anty-malware. Pewne jest, że jeśli twój produkt zabezpieczający go nie wykryje, jest mało prawdopodobne, aby dowiedzieć się, że zostałeś trafiony. Według Bleeping Computer jedynym sposobem sprawdzenia, czy AnarchyGrabber zainfekował Twój komputer, jest sprawdzenie plików JS Discorda i sprawdzenie, czy nie wprowadzono w nich modyfikacji. To nie jest dobra wiadomość, ponieważ dzięki nowej wersji AnarchyGrabber Twoje konto Discord nie jest jedyną zagrożoną.

Rzeczywiście, jedynym hasłem, które kradnie AnarchyGrabber, jest hasło do kont Discord ofiar, ale jak wszyscy wiemy, ponowne użycie hasła nadal stanowi problem, a ataki polegające na wypełnianiu danych uwierzytelniających nadal stanowią jeden z najbardziej skutecznych sposobów na złamanie dużej liczby kont w wielu różnych usługach.

Do niedawna osoby zarządzające AnarchyGrabber wydawały się zadowolone z trafiania tylko na konta Discord ofiar, ale nowo dodane funkcje sugerują, że chcą teraz rozszerzyć swoją działalność. Użytkownicy usługi komunikacyjnej prawdopodobnie powinni o tym pamiętać.