Eine modifizierte AnarchyGrabber Discord-Malware zielt darauf ab, den Client der Chatsoftware Discord so zu verändern, das Zugangsdaten abgegriffen werden können.
Anzeige
Was ist Discord?
Discord (auch Discordapp) ist ein Onlinedienst für Instant Messaging, Chat, Sprachkonferenzen und Videokonferenzen, der vor Allem für Computerspieler geschaffen wurde.] Discord kann als Webanwendung oder mit proprietärer Client-Software auf allen gängigen Betriebssystemen genutzt werden. Discord gibt an, mehr als 250 Millionen registrierte Nutzer zu haben.
Die AnarchyGrabber Discord-Malware
Bei AnarchyGrabber handelt es sich um eine Malware, die dazu entwickelt wurde, um die Discord-Zugangsdaten der Opfer zu stehlen. Wer nach dem Begriff sucht, wird auf GitHub fündig.
Another usual Discord token stealer that is using Discord webhook to send the collected tokens (called "AnarchyGrabber") with some texts changed by some Spanish speaker guy it seems: c325cc6e7653e8973b52c2e5e7b8e2de64200e6c04a70478eb2229ae6209e2a8
"Captain Wordson"cc @JayTHL pic.twitter.com/ZJ8Lywj0dV
— MalwareHunterTeam (@malwrhunterteam) November 15, 2019
Bereits im November 2019 wiesen Sicherheitsforscher in obigem Tweet darauf hin, dass AnarchyGrabber über einen Discort-WebHook die Zugangsdaten abgreifen kann. Aktuell berichtet Bleeping Computer in diesem Artikel über eine Modifikation der Malware. Die neue Version der AnarchyGrabber-Discord-Malware verändert die Discord-Client-Dateien so, dass sie der Erkennung entgehen kann. Gleichzeitig kann sie jedes Mal, wenn sich jemand beim Chat-Dienst anmeldet, die Benutzerkonten abgreifen.
Um die Erkennung durch Antiviren-Software zu erschweren und um Persistenz zu bieten, hat der Entwickler der AnarchyGrabber-Malware so modifiziert, so dass sie die JavaScript-Dateien, die vom Discord-Client zur Injektion seines Codes verwendet werden, bei jeder Ausführung modifiziert. Diese neue Version erhält den ursprünglichen Namen AnarchyGrabber2 und modifiziert bei der Ausführung die Datei
%AppData%\Discord\[version]\modules\discord_desktop_core\index.js
um das vom Malware-Entwickler erstellte JavaScript zu injizieren. Dort findet sich in der unmodifizierten Fassung wohl nur ein Befehl:
modules.exports = require('./core.asar');
Anzeige
Ist die AnarchyGrabber-Malware aktiv, enthält die Datei index.js zusätzliche Anweisungen. Wer Discord einsetzt und sich für die Details interessiert, findet bei Bleeping Computer in diesem Artikel weitere Details.
Joa das könnte alles vermieden werden, wenn man jede JS-Datei hasht und die Hashes in einer Liste speichert, die dann digital signiert wird. Nur unveränderte JS-Dateien werden zur Laufzeit ausgeführt.
Ist meine Idee total verrückt und übertrieben? Ich denke nicht.
Aber gut die Entwickler sind eh unfähig, sieht man ja daran, dass der Client nur auf dem Electron-Framework basiert, dass selbst wiederum ständig Sicherheitslücken hat und noch dazu auf Chromium aufsetzt. Featurebloat!
Discord ist doch selber eine einzige Sicherheitslückensammlung, gut erkennbar am Standard-Installationsort: %LocalAppData%
Ach und in Program Files (x86) ist es so viel sicherer?!
Da könnte zumindest nicht jeder Hanswurst mit Benutzerrechten schreiben. Wenn es da nicht Software, wie z. B. Spieleplattformen wie Steam oder Updater wie bei Firefox gäbe, die entweder Schreibrechte ermöglicht oder als Dienst mit Systemrechten läuft und vom Benutzer getriggert werden kann.
Wobei auch andere Software negativ auffällt, wenn Sie Anwendungsdateien im appdata oder localappdata ablegt, unter anderem TeamSpeak, Google Chrome, Google Hangouts oder auch wieder auf Electron basierende Software wie WhatsApp Desktop, Spotify oder Riot (ein Matrix-Client).
Ist ja nicht so als würde Microsoft das nicht auch machen. Aktuell sehr verbreitet ist der Teams-Client.
ich hab eine file geöffnet von Discord da standen lauter codes und weiter unten
"gonna burn it to the ground"
was bedeutet das? xD