Malware가 Discord 클라이언트를 비밀번호 도용자로 바꿉니다.
AnarchyGrabber 트로이 목마의 새로운 변종은 일반 텍스트 암호를 훔칠 수 있습니다
해커는 AnarchyGrabber 트로이 목마를 비밀번호와 사용자 토큰을 훔쳐서 2FA를 비활성화하고 악성 프로그램을 피해자의 친구에게 전파 할 수있는 새로운 버전으로 업데이트했습니다.
이 업데이트는 올해 트로이 목마가 두 번째 업데이트로, 4 월에 다시 업데이트 되어 안티 바이러스 소프트웨어의 탐지를 피하고 누군가가 인기있는 채팅 서비스에 로그인 할 때마다 사용자 계정을 훔치기 위해 Discord 클라이언트 파일 을 수정했습니다 .
AnarchyGrabber는 해킹 포럼 및 YouTube 비디오에서 무료로 배포되며 트로이 목마는 Discord의 사이버 범죄자 가 게임 치트, 해킹 도구 또는 저작권이있는 소프트웨어라고 주장하는 데 사용 합니다. 대신 Discord 클라이언트의 JavaScript 파일을 수정하여 악성 프로그램으로 변환하여 피해자의 Discord 사용자 토큰을 훔쳐 공격자가 인기있는 채팅 서비스에 피해자로 로그인하는 데 사용합니다.
해커는 이제보다 강력하고 업데이트 된 기능으로 수정 된 버전의 AnarchyGrabber 트로이 목마를 출시했습니다.
무정부 상태
AnarchyGrabber3는 인기있는 멀웨어 의 새로운 변종으로, 피해자의 일반 텍스트 암호를 훔쳐 감염된 클라이언트에게 멀웨어를 피해자의 Discord 친구에게 전파하도록 명령 할 수 있습니다. 공격자는 이제 일반 텍스트 암호를 훔치고 있기 때문에 피해자의 다른 온라인 계정도 손상시키기 위해 자격 증명 스터핑 공격 에 사용할 수 있습니다.
AnarchyGrabber3가 설치되면 Discord 클라이언트의 index.js 파일을 수정하여 4n4rchy 폴더의 사용자 정의 inject.js 및 discordmod.js라는 악성 파일을 포함한 추가 JavaScript 파일을로드합니다. 그런 다음 악의적 인 스크립은 Discord에서 사용자를 로그 아웃하고 다시 로그인하도록 요청합니다.
피해자가 로그인하면 수정 된 Discord 클라이언트는 자신의 계정에서 2FA 를 비활성화하려고 시도 합니다. 그런 다음 클라이언트는 Discord 웹 후크를 사용하여 사용자의 전자 메일 주소, 로그인 이름, 사용자 토큰, 일반 텍스트 암호 및 IP 주소를 공격자가 제어하는 Discord 채널로 보냅니다. 또한 수정 된 클라이언트는 피해자가 로그인 한 후 공격자가 보낸 명령을 수신합니다. 이러한 명령 중 하나를 사용하여 공격자가 확산시키려는 맬웨어가 포함 된 모든 피해자의 친구에게 메시지를 보낼 수도 있습니다.
이 트로이 목마는 AnarchyGrabber3 실행 파일이 사용자의 시스템에 남아 있거나 Discord 클라이언트 파일을 수정 한 후에 다시 실행되지 않기 때문에 일반 사용자가 감염된 사실을 알기가 어렵 기 때문에 특히 위험합니다.
고맙게도 시스템이 AnarchyGrabber3에 감염되었는지 쉽게 확인할 수 있습니다. 메모장을 사용하여 % AppData % \ Discord \ [version] \ modules \ discord_desktop_core에서 Discord의 index.js 파일을 열고 다음과 같은 한 줄의 코드를 찾으십시오.“module.exports = require ( './ core.asar' )”. 클라이언트에 다른 코드가 없으면 트로이 목마에 감염되지 않았을 가능성이 있습니다.