Malware macht Discord-Client zum Passwort-Dieb

(Bildnachweis: Shutterstock)

Hacker haben den Trojaner AnarchyGrabber auf eine neue Version aktualisiert, die in der Lage ist, Passwörter und Benutzer-Token zu stehlen, 2FA zu deaktivieren und Malware auch an die Freunde eines Opfers zu verbreiten.

Dies ist das zweite Update, das der Trojaner in diesem Jahr erhalten hat, da er bereits im April aktualisiert wurde, um die Discord-Client-Dateien so zu verändern*, dass sie von Antiviren-Software* nicht erkannt werden und jedes Mal, wenn sich jemand in den beliebten Chat-Dienst einloggt, Benutzerkonten stehlen können. 

AnarchyGrabber wird kostenlos in Hacker-Foren und in YouTube-Videos verteilt, und der Trojaner wird von Cyberkriminellen bei Discord verwendet, die behaupten, es handele sich um einen Spiel-Cheat, ein Hacker-Tool oder urheberrechtlich geschützte Software. Stattdessen modifiziert er die JavaScript-Dateien des Discord-Clients, um ihn in Malware zu verwandeln, die das Benutzertoken eines Opfers von Discord stehlen kann, das dann von einem Angreifer verwendet wird, um sich als Opfer in den beliebten Chat-Dienst einzuloggen.

Hacker haben jetzt eine modifizierte Version des Trojaners AnarchyGrabber mit aktualisierten und leistungsfähigeren Funktionen veröffentlicht.

AnarchyGrabber3

AnarchyGrabber3 ist eine neue Variante der beliebten Malware*, die die Klartext-Passwörter eines Opfers stehlen und einem infizierten Client sogar befehlen kann, Malware an die Discord-Freunde eines Opfers zu verbreiten. Da die Angreifer jetzt Klartext-Passwörter stehlen, können sie diese auch für Credential-Stuffing*-Angriffe verwenden, um auch die anderen Online-Konten eines Opfers zu kompromittieren.

Nach der Installation modifiziert AnarchyGrabber3 die Datei index.js des Discord-Clients, um zusätzliche JavaScript-Dateien einschließlich einer benutzerdefinierten inject.js aus einem 4n4rchy-Ordner sowie eine bösartige Datei namens discordmod.js zu laden. Die bösartigen Skripte werden den Benutzer dann aus Discord ausloggen und ihn auffordern, sich erneut anzumelden.

Wenn sich ein Opfer einloggt, wird der modifizierte Discord-Client versuchen, 2FA für sein Konto zu deaktivieren. Der Client verwendet dann einen Discord Webhook, um die E-Mail-Adresse, den Anmeldenamen, das Benutzer-Token, das Klartext-Passwort und die IP-Adresse des Benutzers an einen vom Angreifer kontrollierten Discord-Kanal zu senden. Der modifizierte Client lauscht auch auf Befehle, die vom Angreifer gesendet werden, sobald das Opfer eingeloggt ist. Einer dieser Befehle kann sogar dazu verwendet werden, eine Nachricht an alle Freunde des Opfers zu senden, die Malware enthält, die der Angreifer verbreiten möchte.

Dieser Trojaner ist besonders gefährlich, da er es durchschnittlichen Usern erschwert, zu wissen, dass sie infiziert sind, da die ausführbare Datei AnarchyGrabber3 nicht auf dem System des Benutzers verbleibt oder erneut ausgeführt wird, nachdem sie die Dateien des Discord-Clients modifiziert hat.

Glücklicherweise ist es recht einfach zu erkennen, ob dein System mit AnarchyGrabber3 infiziert ist. Öffne einfach die Datei index.js von Discord in %AppData%\Discord\[version]\modules\discord_desktop_core mit Notepad und suche nach einer einzelnen Codezeile, die wie folgt aussieht: "module.exports = erfordern ('./core.asar')". Wenn dein Client keinen anderen Code enthält, dann wurde er wahrscheinlich nicht mit dem Trojaner infiziert.

Via BleepingComputer

* Link englischsprachig

TOPICS
Franziska Schaub
Chefredakteurin

Hallöchen, ich bin Franzi.

Als Chefredakteurin bei TechRadar Deutschland bin ich unter anderem verantwortlich für die Bereiche Smartphones, Tablets und Fitness.

Wenn ich nicht gerade nach neuesten News für euch das Internet durchforste oder frisch gelaunchte Geräte teste, backe ich, tauche ein in die Welt von Azeroth, schmökere in Romanen auf meinem Kindle Paperwhite oder sitze mit einer Tasse Tee gemütlich auf dem Sofa, ganz im Sinne von Netflix & Chill. Dazu eine schlafende Katze auf dem Schoß und ich bin glücklich.

Du möchtest, dass dein Produkt bei uns vorgestellt wird oder hast Neuigkeiten, die wir unbedingt in die Welt hinausstreuen sollen? Dann melde dich am besten unter fschaub[at]purpleclouds.de.

Ich freue mich auf deine Nachricht!