Skip to main content

Malware macht Discord-Client zum Passwort-Dieb

(Image credit: Shutterstock)

Hacker haben den Trojaner AnarchyGrabber auf eine neue Version aktualisiert, die in der Lage ist, Passwörter und Benutzer-Token zu stehlen, 2FA zu deaktivieren und Malware auch an die Freunde eines Opfers zu verbreiten.

Dies ist das zweite Update, das der Trojaner in diesem Jahr erhalten hat, da er bereits im April aktualisiert wurde, um die Discord-Client-Dateien so zu verändern*, dass sie von Antiviren-Software* nicht erkannt werden und jedes Mal, wenn sich jemand in den beliebten Chat-Dienst einloggt, Benutzerkonten stehlen können. 

AnarchyGrabber wird kostenlos in Hacker-Foren und in YouTube-Videos verteilt, und der Trojaner wird von Cyberkriminellen bei Discord verwendet, die behaupten, es handele sich um einen Spiel-Cheat, ein Hacker-Tool oder urheberrechtlich geschützte Software. Stattdessen modifiziert er die JavaScript-Dateien des Discord-Clients, um ihn in Malware zu verwandeln, die das Benutzertoken eines Opfers von Discord stehlen kann, das dann von einem Angreifer verwendet wird, um sich als Opfer in den beliebten Chat-Dienst einzuloggen.

Hacker haben jetzt eine modifizierte Version des Trojaners AnarchyGrabber mit aktualisierten und leistungsfähigeren Funktionen veröffentlicht.

AnarchyGrabber3

AnarchyGrabber3 ist eine neue Variante der beliebten Malware*, die die Klartext-Passwörter eines Opfers stehlen und einem infizierten Client sogar befehlen kann, Malware an die Discord-Freunde eines Opfers zu verbreiten. Da die Angreifer jetzt Klartext-Passwörter stehlen, können sie diese auch für Credential-Stuffing*-Angriffe verwenden, um auch die anderen Online-Konten eines Opfers zu kompromittieren.

Nach der Installation modifiziert AnarchyGrabber3 die Datei index.js des Discord-Clients, um zusätzliche JavaScript-Dateien einschließlich einer benutzerdefinierten inject.js aus einem 4n4rchy-Ordner sowie eine bösartige Datei namens discordmod.js zu laden. Die bösartigen Skripte werden den Benutzer dann aus Discord ausloggen und ihn auffordern, sich erneut anzumelden.

Wenn sich ein Opfer einloggt, wird der modifizierte Discord-Client versuchen, 2FA für sein Konto zu deaktivieren. Der Client verwendet dann einen Discord Webhook, um die E-Mail-Adresse, den Anmeldenamen, das Benutzer-Token, das Klartext-Passwort und die IP-Adresse des Benutzers an einen vom Angreifer kontrollierten Discord-Kanal zu senden. Der modifizierte Client lauscht auch auf Befehle, die vom Angreifer gesendet werden, sobald das Opfer eingeloggt ist. Einer dieser Befehle kann sogar dazu verwendet werden, eine Nachricht an alle Freunde des Opfers zu senden, die Malware enthält, die der Angreifer verbreiten möchte.

Dieser Trojaner ist besonders gefährlich, da er es durchschnittlichen Usern erschwert, zu wissen, dass sie infiziert sind, da die ausführbare Datei AnarchyGrabber3 nicht auf dem System des Benutzers verbleibt oder erneut ausgeführt wird, nachdem sie die Dateien des Discord-Clients modifiziert hat.

Glücklicherweise ist es recht einfach zu erkennen, ob dein System mit AnarchyGrabber3 infiziert ist. Öffne einfach die Datei index.js von Discord in %AppData%\Discord\[version]\modules\discord_desktop_core mit Notepad und suche nach einer einzelnen Codezeile, die wie folgt aussieht: "module.exports = erfordern ('./core.asar')". Wenn dein Client keinen anderen Code enthält, dann wurde er wahrscheinlich nicht mit dem Trojaner infiziert.

Via BleepingComputer

* Link englischsprachig