AnarchyGrabber угрожает нарушению безопасности пользователей путем кражи паролей, идентификаторов, токенов

Некоторые вредоносные программы попадают в заголовки сразу же после их появления, поскольку используются в громких атаках, которые наносят большой ущерб. Троян AnarchyGrabber не является одним из них. В течение нескольких месяцев вредоносное ПО распространялось бесплатно на хакерских форумах, но на самом деле оно не привлекло внимания средств массовой информации, поскольку в своем первоначальном воплощении оно не представляло особой угрозы для большинства пользователей Интернета.

Оригинальный AnarchyGrabber предназначен для пользователей VoIP-сервиса Discord, который очень популярен среди игроков. Было замечено, что злоумышленники маскируют вредоносное ПО как игровой чит или хакерский инструмент. Если жертва получает приманку, AnarchyGrabber модифицирует один из файлов JavaScript Discord и крадет токены пользователя службы VoIP, доступные на зараженной машине. Используя эти токены, хакеры могут войти в учетные записи Discord жертвы и, среди прочего, выдать себя за них. В этой форме троянец не совсем безобиден, но поскольку урон ограничен платформой Discord, он также не самая опасная угроза. Однако недавнее обновление может сделать его более проблематичным.

Хакеры обновляют AnarchyGrabber и включают возможности кражи паролей

На прошлой неделе исследователи из MalwareHunterTeam обнаружили новую версию AnarchyGrabber. Они передали его экспертам из Bleeping Computer, которые проанализировали его и опубликовали отчет. Оказывается, хакеры добавили в вредоносную программу несколько новых функций, которые могут превратить его в мощное оружие.

Еще раз, после установки, AnarchyGrabber внедряет некоторый вредоносный код в один из файлов Discord JS. На этот раз, однако, вредоносная программа не преследует токен пользователя жертвы, а использует его пароль в виде открытого текста. После успешной установки AnarchyGrabber выводит жертву из своей учетной записи и просит ее снова войти в систему. Троян записывает адрес электронной почты и пароль, а также собирает другую информацию, такую как имя пользователя, токен пользователя и IP-адрес жертвы. Все это отправляется на канал Discord, контролируемый операторами AnarchyGrabber. При успешном входе пользователя троянец также пытается отключить двухфакторную аутентификацию.

Новая версия AnarchyGrabber чрезвычайно скрытна

Мы еще не выяснили, удастся ли AnarchyGrabber уклониться от обнаружения в некоторых популярных антивирусных решениях. Не вызывает сомнений то, что если ваш продукт безопасности не обнаружит его, вы вряд ли узнаете, что вас ударили. Согласно Bleeping Computer, единственный способ узнать, заразил ли AnarchyGrabber ваш компьютер, - это проверить файлы JS Discord и посмотреть, были ли в них какие-либо изменения. Это не очень хорошая новость, потому что с новой версией AnarchyGrabber ваша учетная запись Discord - не единственное, что подвергается риску.

Действительно, единственные пароли, которые AnarchyGrabber крадет, - это те, которые используются для учетных записей Discord жертв, но, как мы все знаем, повторное использование паролей продолжает оставаться проблемой, и атаки с использованием учетных данных продолжают оставаться одним из наиболее эффективных способов взлома большого количества учетных записей. на многих разных сервисах.

До недавнего времени люди, управляющие AnarchyGrabber, казались довольными попаданием только в учетные записи Discord жертв, но недавно добавленные функции предполагают, что они хотят расширить свои операции сейчас. Пользователи службы связи, вероятно, должны иметь это в виду.