{"id":230422,"date":"2020-04-04T10:25:36","date_gmt":"2020-04-04T08:25:36","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230422"},"modified":"2020-04-04T10:25:36","modified_gmt":"2020-04-04T08:25:36","slug":"malware-verwandelt-discord-client-in-trojaner","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/04\/malware-verwandelt-discord-client-in-trojaner\/","title":{"rendered":"Malware verwandelt Discord-Client in Trojaner"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\"\/>Eine modifizierte AnarchyGrabber Discord-Malware zielt darauf ab, den Client der Chatsoftware Discord so zu ver\u00e4ndern, das Zugangsdaten abgegriffen werden k\u00f6nnen. <\/p>\n<p><!--more--><\/p>\n<h2>Was ist Discord?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/fe701f2d21aa42d8817d0570fa5c5c22\" width=\"1\" height=\"1\"\/>Discord (auch Discordapp) ist ein Onlinedienst f\u00fcr Instant Messaging, Chat, Sprachkonferenzen und Videokonferenzen, der vor Allem f\u00fcr Computerspieler geschaffen wurde.] Discord kann als Webanwendung oder mit propriet\u00e4rer Client-Software auf allen g\u00e4ngigen Betriebssystemen genutzt werden. Discord gibt an, mehr als 250 Millionen registrierte Nutzer zu haben.<\/p>\n<h2>Die AnarchyGrabber Discord-Malware <\/h2>\n<p>Bei AnarchyGrabber handelt es sich um eine Malware, die dazu entwickelt wurde, um die Discord-Zugangsdaten der Opfer zu stehlen. Wer nach dem Begriff sucht, wird auf GitHub f\u00fcndig. <\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Another usual Discord token stealer that is using Discord webhook to send the collected tokens (called \"AnarchyGrabber\") with some texts changed by some Spanish speaker guy it seems: c325cc6e7653e8973b52c2e5e7b8e2de64200e6c04a70478eb2229ae6209e2a8<br \/>\"Captain Wordson\"<\/p>\n<p>cc <a href=\"https:\/\/twitter.com\/JayTHL?ref_src=twsrc%5Etfw\">@JayTHL<\/a> <a href=\"https:\/\/t.co\/ZJ8Lywj0dV\">pic.twitter.com\/ZJ8Lywj0dV<\/a><\/p>\n<p>\u2014 MalwareHunterTeam (@malwrhunterteam) <a href=\"https:\/\/twitter.com\/malwrhunterteam\/status\/1195304835542921216?ref_src=twsrc%5Etfw\">November 15, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<p>Bereits im November 2019 wiesen Sicherheitsforscher in obigem Tweet darauf hin, dass AnarchyGrabber \u00fcber einen Discort-WebHook die Zugangsdaten abgreifen kann. Aktuell berichtet Bleeping Computer in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/discord-turned-into-an-account-stealer-by-updated-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> \u00fcber eine Modifikation der Malware. Die neue Version der AnarchyGrabber-Discord-Malware ver\u00e4ndert die Discord-Client-Dateien so, dass sie der Erkennung entgehen kann. Gleichzeitig kann sie jedes Mal, wenn sich jemand beim Chat-Dienst anmeldet, die Benutzerkonten abgreifen.<\/p>\n<p>Um die Erkennung durch Antiviren-Software zu erschweren und um Persistenz zu bieten, hat der Entwickler der AnarchyGrabber-Malware so modifiziert, so dass sie die JavaScript-Dateien, die vom Discord-Client zur Injektion seines Codes verwendet werden, bei jeder Ausf\u00fchrung modifiziert. Diese neue Version erh\u00e4lt den urspr\u00fcnglichen Namen AnarchyGrabber2 und modifiziert bei der Ausf\u00fchrung die Datei <\/p>\n<p>%AppData%\\Discord\\[version]\\modules\\discord_desktop_core\\index.js<\/p>\n<p>um das vom Malware-Entwickler erstellte JavaScript zu injizieren. Dort findet sich in der unmodifizierten Fassung wohl nur ein Befehl:<\/p>\n<p>modules.exports = require('.\/core.asar');<\/p>\n<p>Ist die AnarchyGrabber-Malware aktiv, enth\u00e4lt die Datei <em>index.js <\/em>zus\u00e4tzliche Anweisungen. Wer Discord einsetzt und sich f\u00fcr die Details interessiert, findet bei Bleeping Computer in <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/discord-turned-into-an-account-stealer-by-updated-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> weitere Details. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Eine modifizierte AnarchyGrabber Discord-Malware zielt darauf ab, den Client der Chatsoftware Discord so zu ver\u00e4ndern, das Zugangsdaten abgegriffen werden k\u00f6nnen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-230422","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230422","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230422"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230422\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230422"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230422"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230422"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}