[English]Kleine Information für Blog-Leser-/innen, die den Dienst Discord nutzen. Cyber-Kriminelle modifizieren die AnarchyGrabber-Malware so, dass diese zum Abfischen von Kennwörtern in Discord verwendet werden kann. Eine neue Funktion kann auch weitere Freunde des Opfers infizieren.
Anzeige
Was ist Discord?
Discord (auch Discordapp) ist ein Onlinedienst für Instant Messaging, Chat, Sprachkonferenzen und Videokonferenzen, der vor Allem für Computerspieler geschaffen wurde. Discord kann als Webanwendung oder mit proprietärer Client-Software auf allen gängigen Betriebssystemen genutzt werden. Discord gibt an, mehr als 250 Millionen registrierte Nutzer zu haben.
Was ist der AnarchyGrabber?
Bei AnarchyGrabber handelt es sich um eine Malware, die dazu entwickelt wurde, um die Discord-Zugangsdaten der Opfer zu stehlen. AnarchyGrabber häufig kostenlos in Hacker-Foren und in YouTube-Videos verbreitet. Cyber-Kriminelle versuchen den Trojaner auf Discord als 'Cheat für Spiele', als Hacking-Tool oder geschützte Software zu verbreiten. Ich hatte bereits Anfang April 2020 im Blog-Beitrag Malware verwandelt Discord-Client in Trojaner über einen solchen Ansatz berichtet.
Neuer Password-Stealer AnarchyGrabber3
Bleeping Computer berichtet in nachfolgendem Tweet, dass Cyber-Kriminelle mit einer modifizierten AnarchyGrabber3-Malware nun Kennwörter stehlen.
Discord client turned into a password stealer by new malware – @LawrenceAbramshttps://t.co/d9tVW7PTm3
— BleepingComputer (@BleepinComputer) May 24, 2020
Anzeige
Das ist zwar nichts grundsätzlich neues – das hatte ich im Blog-Beitrag Malware verwandelt Discord-Client in Trojaner berichtet. Die Hintermänner der neuen Malware haben diese aber wohl so modifiziert, dass über den AnarchyGrabber-Grabber neben Passwörtern im Klartext auch Tokens abgezogen werden. Zudem wird die Zweifaktor-Authentifizierung deaktiviert und die Malware kann über einen Befehl an Freunde des Opfers verteilt werden.
Erkennen lässt sich, dass ein AnarchyGrabber3 installiert ist, weil dieser die Datei
%AppData%\Discord\Discord\[version]\modules\discord_desktop_core\index.js
des Discord-Clients modifiziert. Dort werden andere JavaScript-Dateien der Malware geladen. Beispielsweise wird ein inject.js aus dem neuen Ordner 4n4rchy geladen. In der unmodifizierten Fassung der index.js findet sich wohl nur ein Befehl:
modules.exports = require('./core.asar');
Sind dort weitere Befehle zu finden, liegt mit hoher Wahrscheinlichkeit eine Infektion vor. Weitere Details lassen sich bei Bleeping Computer nachlesen.
Ähnliche Artikel:
Malware verwandelt Discord-Client in Trojaner
Discord: Dateien werden wohl nicht gelöscht
Anzeige