{"id":232056,"date":"2020-05-25T00:03:00","date_gmt":"2020-05-24T22:03:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232056"},"modified":"2021-02-10T09:21:58","modified_gmt":"2021-02-10T08:21:58","slug":"neue-malware-stiehlt-discord-passwrter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/25\/neue-malware-stiehlt-discord-passwrter\/","title":{"rendered":"Neue Malware stiehlt Discord-Passw&ouml;rter"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/25\/new-malware-steals-discord-passwords\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Kleine Information f\u00fcr Blog-Leser-\/innen, die den Dienst Discord nutzen. Cyber-Kriminelle modifizieren die AnarchyGrabber-Malware so, dass diese zum Abfischen von Kennw\u00f6rtern in Discord verwendet werden kann. Eine neue Funktion kann auch weitere Freunde des Opfers infizieren.<\/p>\n<p><!--more--><\/p>\n<h2>Was ist Discord?<\/h2>\n<p>Discord (auch Discordapp) ist ein Onlinedienst f\u00fcr Instant Messaging, Chat, Sprachkonferenzen und Videokonferenzen, der vor Allem f\u00fcr Computerspieler geschaffen wurde. Discord kann als Webanwendung oder mit propriet\u00e4rer Client-Software auf allen g\u00e4ngigen Betriebssystemen genutzt werden. Discord gibt an, mehr als 250 Millionen registrierte Nutzer zu haben.<\/p>\n<h2>Was ist der AnarchyGrabber?<\/h2>\n<p>Bei AnarchyGrabber handelt es sich um eine Malware, die dazu entwickelt wurde, um die Discord-Zugangsdaten der Opfer zu stehlen. AnarchyGrabber h\u00e4ufig kostenlos in Hacker-Foren und in YouTube-Videos verbreitet. Cyber-Kriminelle versuchen den Trojaner auf Discord als 'Cheat f\u00fcr Spiele', als Hacking-Tool oder gesch\u00fctzte Software zu verbreiten. Ich hatte bereits Anfang April 2020 im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/04\/malware-verwandelt-discord-client-in-trojaner\/\">Malware verwandelt Discord-Client in Trojaner<\/a> \u00fcber einen solchen Ansatz berichtet.<\/p>\n<h2>Neuer Password-Stealer AnarchyGrabber3<\/h2>\n<p>Bleeping Computer berichtet in nachfolgendem Tweet, dass Cyber-Kriminelle mit einer modifizierten AnarchyGrabber3-Malware nun Kennw\u00f6rter stehlen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Discord client turned into a password stealer by new malware &#8211; <a href=\"https:\/\/twitter.com\/LawrenceAbrams?ref_src=twsrc%5Etfw\">@LawrenceAbrams<\/a><a href=\"https:\/\/t.co\/d9tVW7PTm3\">https:\/\/t.co\/d9tVW7PTm3<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1264548763588321285?ref_src=twsrc%5Etfw\">May 24, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das ist zwar nichts grunds\u00e4tzlich neues \u2013 das hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/04\/malware-verwandelt-discord-client-in-trojaner\/\">Malware verwandelt Discord-Client in Trojaner<\/a> berichtet. Die Hinterm\u00e4nner der neuen Malware haben diese aber wohl so modifiziert, dass \u00fcber den AnarchyGrabber-Grabber neben Passw\u00f6rtern im Klartext auch Tokens abgezogen werden. Zudem wird die Zweifaktor-Authentifizierung deaktiviert und die Malware kann \u00fcber einen Befehl an Freunde des Opfers verteilt werden.<\/p>\n<p>Erkennen l\u00e4sst sich, dass ein AnarchyGrabber3 installiert ist, weil dieser die Datei<\/p>\n<p>%AppData%\\Discord\\Discord\\[version]\\modules\\discord_desktop_core\\index.js<\/p>\n<p>des Discord-Clients modifiziert. Dort werden andere JavaScript-Dateien der Malware geladen. Beispielsweise wird ein <em>inject.js<\/em> aus dem neuen Ordner <em>4n4rchy <\/em>geladen. In der unmodifizierten Fassung der <em>index.js<\/em> findet sich wohl nur ein Befehl:<\/p>\n<p>modules.exports = require('.\/core.asar');<\/p>\n<p>Sind dort weitere Befehle zu finden, liegt mit hoher Wahrscheinlichkeit eine Infektion vor. Weitere Details lassen sich <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/discord-client-turned-into-a-password-stealer-by-updated-malware\/\" target=\"_blank\" rel=\"noopener noreferrer\">bei Bleeping Computer<\/a> nachlesen.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2020\/04\/04\/malware-verwandelt-discord-client-in-trojaner\/\">Malware verwandelt Discord-Client in Trojaner<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/10\/23\/discord-dateien-werden-wohl-nicht-gelscht\/\">Discord: Dateien werden wohl nicht gel\u00f6scht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kleine Information f\u00fcr Blog-Leser-\/innen, die den Dienst Discord nutzen. Cyber-Kriminelle modifizieren die AnarchyGrabber-Malware so, dass diese zum Abfischen von Kennw\u00f6rtern in Discord verwendet werden kann. Eine neue Funktion kann auch weitere Freunde des Opfers infizieren.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[1018,4328],"class_list":["post-232056","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232056","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232056"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232056\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232056"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232056"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232056"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}