Malware verwandelt Discord-Client in Trojaner

Eine modifizierte AnarchyGrabber Discord-Malware zielt darauf ab, den Client der Chatsoftware Discord so zu verändern, das Zugangsdaten abgegriffen werden können.


Anzeige

Was ist Discord?

Discord (auch Discordapp) ist ein Onlinedienst für Instant Messaging, Chat, Sprachkonferenzen und Videokonferenzen, der vor Allem für Computerspieler geschaffen wurde.] Discord kann als Webanwendung oder mit proprietärer Client-Software auf allen gängigen Betriebssystemen genutzt werden. Discord gibt an, mehr als 250 Millionen registrierte Nutzer zu haben.

Die AnarchyGrabber Discord-Malware

Bei AnarchyGrabber handelt es sich um eine Malware, die dazu entwickelt wurde, um die Discord-Zugangsdaten der Opfer zu stehlen. Wer nach dem Begriff sucht, wird auf GitHub fündig.

Bereits im November 2019 wiesen Sicherheitsforscher in obigem Tweet darauf hin, dass AnarchyGrabber über einen Discort-WebHook die Zugangsdaten abgreifen kann. Aktuell berichtet Bleeping Computer in diesem Artikel über eine Modifikation der Malware. Die neue Version der AnarchyGrabber-Discord-Malware verändert die Discord-Client-Dateien so, dass sie der Erkennung entgehen kann. Gleichzeitig kann sie jedes Mal, wenn sich jemand beim Chat-Dienst anmeldet, die Benutzerkonten abgreifen.

Um die Erkennung durch Antiviren-Software zu erschweren und um Persistenz zu bieten, hat der Entwickler der AnarchyGrabber-Malware so modifiziert, so dass sie die JavaScript-Dateien, die vom Discord-Client zur Injektion seines Codes verwendet werden, bei jeder Ausführung modifiziert. Diese neue Version erhält den ursprünglichen Namen AnarchyGrabber2 und modifiziert bei der Ausführung die Datei

%AppData%\Discord\[version]\modules\discord_desktop_core\index.js

um das vom Malware-Entwickler erstellte JavaScript zu injizieren. Dort findet sich in der unmodifizierten Fassung wohl nur ein Befehl:

modules.exports = require('./core.asar');


Anzeige

Ist die AnarchyGrabber-Malware aktiv, enthält die Datei index.js zusätzliche Anweisungen. Wer Discord einsetzt und sich für die Details interessiert, findet bei Bleeping Computer in diesem Artikel weitere Details.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu Malware verwandelt Discord-Client in Trojaner

  1. MeineZweiCent sagt:

    Joa das könnte alles vermieden werden, wenn man jede JS-Datei hasht und die Hashes in einer Liste speichert, die dann digital signiert wird. Nur unveränderte JS-Dateien werden zur Laufzeit ausgeführt.

    Ist meine Idee total verrückt und übertrieben? Ich denke nicht.

    Aber gut die Entwickler sind eh unfähig, sieht man ja daran, dass der Client nur auf dem Electron-Framework basiert, dass selbst wiederum ständig Sicherheitslücken hat und noch dazu auf Chromium aufsetzt. Featurebloat!

    • oli sagt:

      Discord ist doch selber eine einzige Sicherheitslückensammlung, gut erkennbar am Standard-Installationsort: %LocalAppData%

      • Ingenieurs sagt:

        Ach und in Program Files (x86) ist es so viel sicherer?!

        • Martin Feuerstein sagt:

          Da könnte zumindest nicht jeder Hanswurst mit Benutzerrechten schreiben. Wenn es da nicht Software, wie z. B. Spieleplattformen wie Steam oder Updater wie bei Firefox gäbe, die entweder Schreibrechte ermöglicht oder als Dienst mit Systemrechten läuft und vom Benutzer getriggert werden kann.

          Wobei auch andere Software negativ auffällt, wenn Sie Anwendungsdateien im appdata oder localappdata ablegt, unter anderem TeamSpeak, Google Chrome, Google Hangouts oder auch wieder auf Electron basierende Software wie WhatsApp Desktop, Spotify oder Riot (ein Matrix-Client).

  2. niko sagt:

    ich hab eine file geöffnet von Discord da standen lauter codes und weiter unten
    "gonna burn it to the ground"
    was bedeutet das? xD

Schreibe einen Kommentar zu MeineZweiCent Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.