Chamado AnarchyGrabber 3, o Trojan é distribuído gratuitamente em fóruns de hackers e em vídeos do YouTube que explicam como roubar tokens de usuário do Discord.
Conforme relatos, um dos malwares Trojan populares foi atualizado por hackers para roubar senhas, tokens do usuário Discord e desabilitar a autenticação de dois fatores, além de se espalhar para os amigos da vítima. Esta é a segunda atualização que atingiu o Trojan este ano após a atualização de abril, que o ajudou a contornar o software antivírus e roubar detalhes da conta de usuário no serviço de bate-papo Discord. Nomeado AnarchyGrabber3, o Trojan é distribuído gratuitamente em fóruns de hackers e em vídeos do YouTube que explicam como roubar tokens de usuário do Discord, relata Bleeping Computer.
Os atores de ameaças geralmente espalham o Trojan no Discord, colocando-o como uma fraude, ferramenta de hacking ou software de copyright. Após a instalação da versão atualizada do AnarchyGrabber, ele modifica os arquivos JavaScript do cliente Discord, tornando-o essencialmente um malware que rouba o token Discord do usuário.
Diz-se que o AnarchyGrabber3 modifica o arquivo index.js do cliente Discord e carrega um script mal-intencionado chamado ‘discordmod.js’. Isso aparentemente desconecta o usuário e pede que ele faça login novamente. Quando a vítima tenta fazer login, o script malicioso tenta desativar a camada de segurança 2FA. Isso é seguido pelo uso do webhook para extrair o ID de email do usuário, o nome de login, o token do usuário, a senha em texto sem formatação e o endereço IP para um canal Discord controlado pelo hacker. Ele pode até executar comandos dados pelo invasor, um dos quais é enviar uma mensagem aos amigos da vítima, espalhando o malware Trojan ainda mais.
Embora seja difícil alguém reconhecer se a conta do Discord foi afetada pelo AnarchyGrabber3 imediatamente, há uma maneira de descobrir. Pode-se abrir o arquivo index.js do Discord em %AppData%\Discord\[version]\modules\discord_desktop_core com o Bloco de Notas e procurar uma linha de código que seja assim: “module.exports = require (‘./ core.asar’ )”. Se você pode ver isso, é mais provável que seu sistema seja afetado.
Fonte: (https://tech.hindustantimes.com/)