Les pirates ont mis à jour le cheval de Troie AnarchyGrabber vers une nouvelle version qui est capable de voler des mots de passe et des jetons d'utilisateur, de désactiver 2FA et de propager des logiciels malveillants aux amis d'une victime.
Il s'agit de la deuxième mise à jour reçue par le cheval de Troie cette année, car elle a également été mise à jour en avril pour modifier les fichiers du client Discord afin d'éviter la détection par un logiciel antivirus et de voler des comptes d'utilisateurs chaque fois que quelqu'un se connecte au service de chat populaire.
AnarchyGrabber est distribué gratuitement sur les forums de piratage et dans les vidéos YouTube et le cheval de Troie est utilisé par les cybercriminels sur Discord qui prétend que c'est un tricheur de jeu, un outil de piratage ou un logiciel protégé par le droit d'auteur. Au lieu de cela, il modifie les fichiers JavaScript du client Discord pour le transformer en malware qui peut voler le jeton d'utilisateur Discord d'une victime qui est ensuite utilisé par un attaquant pour se connecter au service de chat populaire en tant que victime.
Les pirates ont maintenant publié une version modifiée du cheval de Troie AnarchyGrabber avec des fonctionnalités mises à jour et plus puissantes.
Sommaire
AnarchyGrabber3
AnarchyGrabber3 est une nouvelle variante du logiciel malveillant populaire qui peut voler les mots de passe en texte brut d'une victime et même commander à un client infecté de propager un logiciel malveillant aux amis Discord d'une victime. Étant donné que les attaquants volent maintenant des mots de passe en texte brut, ils peuvent également les utiliser dans des attaques de bourrage d'informations d'identification afin de compromettre également les autres comptes en ligne d'une victime.
Une fois installé, AnarchyGrabber3 modifiera le fichier index.js du client Discord pour charger des fichiers JavaScript supplémentaires, y compris un inject.js personnalisé à partir d'un dossier 4n4rchy ainsi qu'un fichier malveillant appelé discordmod.js. Les scripts malveillants déconnecteront ensuite l'utilisateur de Discord et lui demanderont de se reconnecter.
Lorsqu'une victime se connecte, le client Discord modifié essaie de désactiver 2FA sur son compte. Le client utilise ensuite un webhook Discord pour envoyer l'adresse e-mail, le nom de connexion, le jeton utilisateur, le mot de passe en texte brut et l'adresse IP de l'utilisateur à un canal Discord contrôlé par l'attaquant. Le client modifié écoutera également les commandes envoyées par l'attaquant une fois la victime connectée. L'une de ces commandes peut même être utilisée pour envoyer un message à tous les amis de la victime contenant des logiciels malveillants que les attaquants souhaitent propager.
Ce cheval de Troie est particulièrement dangereux car il est difficile pour les utilisateurs moyens de savoir qu'ils sont infectés car l'exécutable AnarchyGrabber3 ne reste pas sur le système d'un utilisateur ou ne s'exécute plus après avoir modifié les fichiers client Discord.
Heureusement, il est assez facile de voir si votre système a été infecté par AnarchyGrabber3. Ouvrez simplement le fichier index.js de Discord dans% AppData% Discord [version] modules discord_desktop_core avec le Bloc-notes et recherchez une seule ligne de code qui ressemble à ceci: "module.exports = require ('./ core.asar')". Si votre client ne contient aucun autre code, il n'a probablement pas été infecté par le cheval de Troie.
Via BleepingComputer
