Neue Malware stiehlt Discord-Passwörter

[English]Kleine Information für Blog-Leser-/innen, die den Dienst Discord nutzen. Cyber-Kriminelle modifizieren die AnarchyGrabber-Malware so, dass diese zum Abfischen von Kennwörtern in Discord verwendet werden kann. Eine neue Funktion kann auch weitere Freunde des Opfers infizieren.


Anzeige

Was ist Discord?

Discord (auch Discordapp) ist ein Onlinedienst für Instant Messaging, Chat, Sprachkonferenzen und Videokonferenzen, der vor Allem für Computerspieler geschaffen wurde. Discord kann als Webanwendung oder mit proprietärer Client-Software auf allen gängigen Betriebssystemen genutzt werden. Discord gibt an, mehr als 250 Millionen registrierte Nutzer zu haben.

Was ist der AnarchyGrabber?

Bei AnarchyGrabber handelt es sich um eine Malware, die dazu entwickelt wurde, um die Discord-Zugangsdaten der Opfer zu stehlen. AnarchyGrabber häufig kostenlos in Hacker-Foren und in YouTube-Videos verbreitet. Cyber-Kriminelle versuchen den Trojaner auf Discord als ‘Cheat für Spiele’, als Hacking-Tool oder geschützte Software zu verbreiten. Ich hatte bereits Anfang April 2020 im Blog-Beitrag Malware verwandelt Discord-Client in Trojaner über einen solchen Ansatz berichtet.

Neuer Password-Stealer AnarchyGrabber3

Bleeping Computer berichtet in nachfolgendem Tweet, dass Cyber-Kriminelle mit einer modifizierten AnarchyGrabber3-Malware nun Kennwörter stehlen.

Das ist zwar nichts grundsätzlich neues – das hatte ich im Blog-Beitrag Malware verwandelt Discord-Client in Trojaner berichtet. Die Hintermänner der neuen Malware haben diese aber wohl so modifiziert, dass über den AnarchyGrabber-Grabber neben Passwörtern im Klartext auch Tokens abgezogen werden. Zudem wird die Zweifaktor-Authentifizierung deaktiviert und die Malware kann über einen Befehl an Freunde des Opfers verteilt werden.

Erkennen lässt sich, dass ein AnarchyGrabber3 installiert ist, weil dieser die Datei

%AppData%\Discord\Discord\[version]\modules\discord_desktop_core\index.js


Anzeige

des Discord-Clients modifiziert. Dort werden andere JavaScript-Dateien der Malware geladen. Beispielsweise wird ein inject.js aus dem neuen Ordner 4n4rchy geladen. In der unmodifizierten Fassung der index.js findet sich wohl nur ein Befehl:

modules.exports = require(‘./core.asar’);

Sind dort weitere Befehle zu finden, liegt mit hoher Wahrscheinlichkeit eine Infektion vor. Weitere Details lassen sich bei Bleeping Computer nachlesen.

Ähnliche Artikel:
Malware verwandelt Discord-Client in Trojaner
Discord: Dateien werden wohl nicht gelöscht


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Malware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.