AnarchyGrabber hotar användarnas säkerhet genom att stjäla lösenord, ID, tokens

Vissa skadliga skadestammar gör rubrikerna så snart de dyker upp eftersom de används i högprofilattacker som orsakar mycket skada. AnarchyGrabber-trojanen är inte en av dem. Det skadliga programmet har distribuerats gratis på forum för hackning i några månader nu, men det har inte riktigt fångat uppmärksamheten hos mainstream media eftersom den i sin ursprungliga inkarnation inte riktigt representerar så mycket av ett hot för de flesta internetanvändare.

Den ursprungliga AnarchyGrabber riktar sig till användare av en VoIP-tjänst som heter Discord, som är extremt populär bland spelare. Angriparna har setts maskera skadlig programvara som ett spelfusk eller ett hackningsverktyg. Om ett offer tar betet, ändrar AnarchyGrabber en av Discords JavaScript-filer och stjäl användarnas token för VoIP-tjänster som finns tillgängliga på den infekterade maskinen. Med hjälp av dessa symboler kan hackarna logga in på offrets Discord-konton och bland annat föröka sig. I den här formen är trojanen inte exakt oskadlig, men eftersom skadorna är begränsade till Discord-plattformen är den inte heller det farligaste hotet. En senaste uppdatering kan dock göra det mer ett problem.

Hackare uppdaterar AnarchyGrabber och inkluderar möjligheter att stjäla lösenord

Förra veckan upptäckte forskare från MalwareHunterTeam en ny version av AnarchyGrabber. De överlämnade det till experter från Bleeping Computer som analyserade det och publicerade en rapport. Det visar sig att hackarna har lagt till några nya funktioner i skadlig programvara som kan förvandla den till ett kraftfullt vapen.

Återigen injicerar AnarchyGrabber efter installationen någon skadlig kod i en av Discords JS-filer. Den här gången är skadlig programvara emellertid inte efter offrets användartecken utan snarare deras vanliga lösenord. Efter den lyckade installationen loggar AnarchyGrabber offret ut ur sitt konto och ber dem logga in igen. Trojan registrerar e-postadressen och lösenordet och samlar in annan information som inloggningsnamnet, användarkoden och offrets IP. Allt detta skickas till en Discord-kanal som kontrolleras av AnarchyGrabbers operatörer. När användaren loggar in framgångsrikt försöker trojanen att inaktivera tvåfaktorautentisering.

AnarchyGrabbers nya version är extremt snygg

Vi har ännu inte sett om AnarchyGrabber lyckas undvika upptäckt från några av de populära anti-malware-lösningarna. Det som är säkert är att om din säkerhetsprodukt inte upptäcker det, är det mycket osannolikt att du vet att du har drabbats. Enligt Bleeping Computer är det enda sättet att veta om AnarchyGrabber har infekterat din dator eller inte att kontrollera Discords JS-filer och se om några ändringar har gjorts i dem. Det här är inte goda nyheter, eftersom med AnarchyGrabbers nya version är ditt Discord-konto inte det enda som riskeras.

Faktum är att de enda lösenorden som AnarchyGrabber stjäl är de för offrens Discord-konton, men som vi alla vet är återanvändning av lösenord fortfarande ett problem, och referensstoppningsattacker är fortfarande bland de mest effektiva sätten att kompromissa med ett stort antal konton på många olika tjänster.

Fram tills nyligen verkade de som driver AnarchyGrabber vara nöjda med att bara slå offrens Discord-konton, men de nyligen tillagda funktionerna tyder på att de vill utöka sin verksamhet nu. Användare av kommunikationstjänsten bör förmodligen ha detta i åtanke.