Un acteur de la menace a mis à jour le cheval de Troie AnarchyGrabber dans une nouvelle version qui vole les mots de passe et les jetons utilisateur, désactive 2FA et propage des logiciels malveillants aux amis d’une victime.

AnarchyGrabber est un cheval de Troie populaire qui est généralement répandu gratuitement sur les forums de pirates et dans les vidéos YouTube qui expliquent comment voler des jetons utilisateur Discord.

Les acteurs de la menace distribuent ensuite le cheval de Troie sur Discord, où ils prétendent qu’il s’agit d’un tricheur de jeu, d’un outil de piratage ou d’un logiciel protégé par le droit d’auteur.

Une fois installé, le cheval de Troie modifie les fichiers JavaScript du client Discord pour le transformer en un logiciel malveillant qui volerait le jeton d’utilisateur Discord d’une victime.

À l’aide de ce jeton d’utilisateur volé, l’attaquant peut se connecter à Discord en tant que victime.

AnarchyGrabber3 publié la semaine dernière

Plus tôt cette semaine, un acteur de la menace a publié un cheval de Troie AnarchyGrabber modifié qui contient de nouvelles fonctionnalités puissantes.

Le malware est maintenant appelé AnarchyGrabber3, et avec cette nouvelle variante, un attaquant peut également voler le mot de passe en texte brut d’une victime et ordonner à un client infecté de propager un malware à ses amis sur Discord.

En volant des mots de passe en texte brut, les attaquants peuvent les utiliser dans des attaques de bourrage d’informations d’identification pour compromettre les comptes de la victime sur d’autres sites.

Une fois installé, AnarchyGrabber3 modifiera le client Discord % AppData% Discord [version] modules discord_desktop_core index.js pour charger d’autres fichiers JavaScript ajoutés par le malware.

Infos WEB:  Plusieurs désinstalleurs publiés pour le logiciel malveillant `` GoldenSpy '' lié à la Chine

Comme vous pouvez le voir dans le script modifié, lorsque Discord est démarré, il charge un fichier appelé inject.js à partir d’un nouveau dossier 4n4rchy.

Fichier JavaScript du client Discord modifié
Fichier JavaScript du client Discord modifié

Ce fichier chargera ensuite un autre fichier javascript malveillant appelé discordmod.js dans le client.

Fichiers JavaScript malveillants dans le dossier 4n4rchy
Fichiers JavaScript malveillants dans le dossier 4n4rchy

Les scripts malveillants déconnecteront ensuite l’utilisateur du client Discord et l’inviteront à se connecter.

Invite de connexion Discord
Invite de connexion Discord

Une fois qu’une victime se connecte, le client Discord modifié tente de …

Voir la source de cette publication