AnarchyGrabber ameaça a segurança dos usuários em desacordo roubando senhas, IDs e tokens
Algumas linhagens de malware aparecem nas manchetes assim que aparecem, porque são usadas em ataques de alto perfil que causam muitos danos. O Trojan AnarchyGrabber não é um deles. O malware foi distribuído gratuitamente em fóruns de hackers há alguns meses, mas não chamou a atenção da mídia convencional porque, em sua encarnação original, não representa realmente uma grande ameaça para a maioria dos usuários da Internet.
O AnarchyGrabber original tem como alvo os usuários de um serviço VoIP chamado Discord, que é extremamente popular entre os jogadores. Os atacantes foram vistos mascarando o malware como uma fraude de jogo ou uma ferramenta de hacking. Se uma vítima morder a isca, o AnarchyGrabber modifica um dos arquivos JavaScript do Discord e rouba os tokens de usuário do serviço VoIP disponíveis na máquina infectada. Usando esses tokens, os hackers podem fazer login nas contas de Discord da vítima e, entre outras coisas, personificá-las. Dessa forma, o trojan não é exatamente inofensivo, mas como o dano é limitado à plataforma Discord, também não é a ameaça mais perigosa. Uma atualização recente pode torná-lo mais um problema, no entanto.
Os hackers atualizam o AnarchyGrabber e incluem recursos de roubo de senha
Na semana passada, pesquisadores do MalwareHunterTeam descobriram uma nova versão do AnarchyGrabber. Eles o repassaram a especialistas da Bleeping Computer, que o analisaram e publicaram um relatório. Acontece que os hackers adicionaram alguns novos recursos ao malware que podem transformá-lo em uma arma poderosa.
Mais uma vez, após a instalação, o AnarchyGrabber injeta código malicioso em um dos arquivos JS do Discord. Desta vez, no entanto, o malware não segue o token do usuário da vítima, mas sua senha de texto sem formatação. Após a instalação bem-sucedida, o AnarchyGrabber desconecta a vítima de sua conta e solicita que ela efetue login novamente. O trojan registra o endereço de e-mail e a senha e coleta outras informações como o nome de login, o token do usuário e o IP da vítima. Tudo isso é enviado para um canal Discord controlado pelos operadores do AnarchyGrabber. Quando o usuário efetua login com êxito, o cavalo de Troia também tenta desativar a autenticação de dois fatores.
A nova versão do AnarchyGrabber é extremamente furtiva
Ainda precisamos ver se o AnarchyGrabber consegue evitar a detecção de algumas das populares soluções anti-malware. O certo é que, se o seu produto de segurança não o detectar, é muito improvável que você saiba que foi atingido. De acordo com o Bleeping Computer, a única maneira de saber se o AnarchyGrabber infectou ou não o seu computador é verificar os arquivos JS do Discord e verificar se alguma modificação foi feita neles. Isso não é uma boa notícia, porque, com a nova versão do AnarchyGrabber, sua conta do Discord não é a única coisa que é posta em risco.
Na verdade, as únicas senhas que o AnarchyGrabber rouba são as contas de discórdia das vítimas, mas, como todos sabemos, a reutilização de senhas continua sendo um problema e ataques de preenchimento de credenciais continuam sendo uma das maneiras mais eficazes de comprometer um grande número de contas. em muitos serviços diferentes.
Até recentemente, as pessoas que administravam o AnarchyGrabber pareciam felizes em atingir apenas as contas de discórdia das vítimas, mas os novos recursos sugeridos sugerem que eles desejam expandir suas operações agora. Os usuários do serviço de comunicação provavelmente devem ter isso em mente.