Versi baru dari malware AnarchyGrabber telah terdeteksi peredarannya oleh MalwareHunterTeam. Versi baru ini memodifikasi file aplikasi klien Discord agar malware dapat menghindari deteksi dan mencuri akun pengguna setiap kali seseorang masuk ke layanan obrolan.
AnarchyGrabber merupakan malware populer yang didistribusikan di forum hacking juga YouTube, yang mencuri token pengguna Discord saat malware dieksekusi.
Token pengguna ini kemudian diunggah kembali ke saluran Discord di bawah kendali penyerang, di mana mereka dapat dikumpulkan dan digunakan oleh aktor penjahat siber untuk masuk menggunakan akun korban.
Malware Discord baru ini memodifikasi file aplikasi klien untuk menghindari deteksi
Untuk membuatnya menjadi sulit untuk dideteksi oleh perangkat lunak antivirus dan menjadi persistensi, aktor penjahat siber telah memperbarui malware AnarchyGrabber dengan memodifikasi file JavaScript yang digunakan oleh aplikasi klien Discord untuk menginjeksikan kode setiap kali dijalankan.
Versi malware Discord baru ini diberi nama AnarchyGrabber2 dan ketika dijalankan akan mengubah %AppData%\Discord\[version]\modules\discord_desktop_core\index.js untuk menginjeksikan JavaScript yang dibuat oleh aktor dibalik malware.
Ketika AnarchyGrabber2 dijalankan, file index.js akan dimodifikasi untuk menginjeksikan file JavaScript tambahan dari subfolder 4n4rchy seperti yang ditunjukkan di bawah ini:
Dengan modifikasi seperti ini, saat Discord dijalankan, maka file JavaScript berbahaya tambahan akan dimuat juga.
Kemudian, ketika pengguna login ke Discord, skrip akan menggunakan webhook untuk memposting token akun korban ke saluran Discord dengan pesan “Brought to you by The Anarchy Token Grabber”.
Karena perangkat lunak keamanan tidak mendeteksi modifikasi aplikasi klien ini, maka kode akan tetap ada di perangkat tanpa sepengetahuan korban bahwa akun mereka sedang dicuri.
Baca juga: “Bug Dalam Safari Ini Memungkinkan Penyerang Untuk Membajak Kamera iPhone Maupun Macbook“
Discord perlu melakukan pemeriksaan integritas aplikasi klien
Ini bukan pertama kalinya kasus seperti itu terjadi. Pada Oktober 2019, ada kejadian serupa yang memodifikasi file aplikasi klien Discord untuk mengubah aplikasi klien menjadi Trojan pencuri informasi.
Pada saat itu, Discord telah menyatakan bahwa mereka akan mencari cara untuk mencegah hal ini terjadi lagi, tetapi sayangnya, kejadian seperti ini terulang kembali.
Sampai Discord menambahkan integritas aplikasi klien, akun Discord akan terus beresiko dari malware yang memodifikasi file aplikasi klien.
