Kini ditemukan seorang aktor penjahat siber memperbarui trojan AnarchyGrabber ke versi baru yang bisa mencuri password dan token pengguna Discord, menonaktifkan fitur 2FA, dan menyebarkan malware ke teman-teman korban.
AnarchyGrabber merupakan trojan populer yang disebar secara gratis dalam forum underground dan di dalam video YouTube yang menjelaskan cara mencuri token pengguna Discord.
Setelah terinstal, trojan akan memodifikasi file JavaScript aplikasi Discord untuk mengubahnya menjadi malware yang bisa mencuri token pengguna Discord korban.
Dengan menggunakan token pengguna yang dicuri ini, penyerang dapat login ke Discord menggunakan akun korban.
AnarchyGrabber3 sudah dirilis minggu lalu
Awal pekan ini, seorang aktor penjahat siber merilis trojan AnarchyGrabber yang dimodifikasi dengan menghadirkan fitur-fitur baru dan canggih.
Varian baru malware tersebut dijuluki AnarchyGrabber3, dan dengan varian baru ini, penyerang juga dapat mencuri password korban dan menjalankan aplikasi yang terinfeksi untuk menyebarkan malware ke teman-teman korban di Discord.
Dengan mendapatkan password korban, memungkinkan penyerang untuk menggunakannya dalam operasi berbahaya lain dan menyalahgunakan akun korban di situs lain.
Ketika diinstal, AnarchyGrabber3 akan memodifikasi file %AppData%\Discord\[version]\modules\discord_desktop_core\index.js aplikasi Discord untuk memuat file JavaScript lainnya yang ditambahkan oleh malware.
Seperti yang bisa kita lihat dari skrip yang dimodifikasi, ketika Discord dijalankan, itu akan memuat file yang disebut inject.js dari folder 4n4rchy baru.
File ini kemudian akan memuat file javascript berbahaya lainnya yang disebut discordmod.js ke aplikasi.
Skrip berbahaya kemudian akan me-logout akun pengguna dari aplikasi Discord dan meminta korban untuk login kembali.
Setelah korban login, aplikasi Discord yang sudah dimodifikasi akan menonaktifkan fitur 2FA di akun korban. Kemudian menggunakan webhook Discord untuk mengirim alamat email pengguna, nama login, token pengguna, password, dan alamat IP korban ke saluran Discord yang dikendalikan penyerang.
Ketika terhubung ke Discord, aplikasi yang sudah dimodifikasi juga akan mendengarkan perintah yang dikirim oleh penyerang. Salah satu dari perintah ini memberi tahu aplikasi Discord yang dimodifikasi untuk mengirim pesan yang berisi malware ke semua teman akun korban.
Komponen penyebar ini memudahkan penyerang untuk menyebarkan AnarchyGrabber3 ke lebih banyak target atau bisa juga digunakan untuk mendistribusikan jenis malware lainnya.
Apa yang membuat trojan ini begitu efektif adalah bahwa kebanyakan orang tidak akan tahu ketika mereka terinfeksi.
Baca Juga: “Discord Menjadi Target Empuk Malware Pencuri Akun“
Cara memeriksa apakah aplikasi Discord yang digunakan terinfeksi malware ini atau tidak
Jika kamu khawatir apakah aplikasi Discord yang kamu gunakan terinfeksi atau tidak, kamu dapat membuka file %AppData%\Discord\[version]\modules\discord_desktop_core\index.js dengan Notepad dan pastikan tidak ada modifikasi apapun pada file tersebut.
File normal dan tidak dimodifikasi akan memiliki satu baris berikut di dalamnya:Â module.exports = require(‘./core.asar’);.
Untuk saat ini, satu-satunya cara menghapus AnarchyGrabber3 adalah menghapus instalan aplikasi Discord yang sudah ada dan menginstal ulang aplikasi Discord.
