Một phiên bản mới của phần mềm mã độc AnarchyGrabber Discord nổi tiếng đã được phát hành nhằm sửa đổi các tệp của Discord Client, để mã độc có thể tránh sự phát hiện từ các chương trình bảo mật và đánh cắp các tài khoản người dùng mỗi khi có ai đó đăng nhập vào dịch vụ trò chuyện (chat)
AnarchyGrabber là một phần mềm mã độc phổ biến được phân phối trên các diễn đàn Hacking và trong video từ Youtube đã cho thấy phần mềm độc hại được thi thì mã thông báo của người dùng sẽ bị đánh cắp nếu đã đăng nhập vào Discord
Những mã thông báo người dùng này sau đó được tải lên lại kênh Discord dưới sự kiểm soát của kẻ tấn công, nơi mà có thể thu thập và sử dụng bởi kẻ tấn công để đăng nhập với tư cách là nạn nhân đã bị đánh cắp trước đó.
Phiên bản gốc của phần mềm mã độc ở dạng có thể thực thi và chỉ đánh cắp thông tin khi đang chạy nhưng cũng dễ dàng bị phát hiện bởi những phần mềm bảo mật
Sửa đổi tệp máy khách Discord để không bị phát hiện.
Để làm cho chương trình chống virus khó phát hiện, một "threat actor" đã cập nhật các mã độc cho AnarchyGrabber để nó có thể sửa đổi các tệp tin JavaScript được sử dụng bởi Discord Client và Inject mã của nó mỗi lần khi nó thực thi.
Phiên bản mới này được đặt tên là AnarchyGrabber2 và khi được thực thi nó sẽ sửa đổi tệp %AppData%\Discord\[version]\modules\discord_desktop_core\index.js nhằm Inject JavaScript được tạo bởi người phát triển phần mềm mã độc.
Ví dụ: tệp index.js thường sẽ trông giống với ảnh bên dưới nếu chưa có sự thay đổi
Tệp Index.js khi chưa được thay đổi
Khi AnarchyGrabber2 được thực thi, tệp Index.js sẽ được sửa đổi để thêm các tệp JavaScript từ thư mục con 4n4rchy như hình bên dưới
Khi AnarchyGrabber2 thực thi tệp đã bị thay đổi
Với những thay đổi này, khi Discord được khởi động thì các tệp mã độc JavaScript sẽ được tải xuống
Ngay khi đó nếu người dùng đăng nhập vào Discord, các tập lệnh sẽ sử dụng một webhook để đăng mã thông báo của người dùng nạn nhân lên kênh Discord của "threat actor" với thông báo là "Brought to you by The Anarchy Token Grabber".
Đánh cắp mã thông báo người dùng Discord
MalwareHunterTeam, người đã tìm thấy biến thể mới này và chia sẽ nó với chúng tôi. Nói với BleepingComputer rằng "skids đang chia sẻ chúng ở khắp mọi nơi."
Điều đáng quan tâm là ngay khi bị phát hiện bởi chương trình bảo mật lúc khởi chạy thì mã độc cũng đã thay đổi tệp ở Discord Client luôn rồi.
Vì phần mềm bảo mật chỉ phát hiện sự thay đổi ở những tệp Client, còn các đoạn mã thì được bỏ qua và vẫn còn tồn tại trong máy tính. Người dùng thì không hề biết là anti đã bỏ qua sự thay đổi này, kéo theo đó là tài khoản đã bị đánh cắp mà không hề biết.
Discord cần phải kiểm tra tính toàn vẹn của Client
Đây không phải là lần đầu tiên phần mềm Discord bị mã độc sửa đổi các tệp JavaScript của Client
Vào tháng 10 năm 2019, BleepingComputer đã "phá vỡ" thông tin rằng phần mềm độc hại Discord đã được sửa đổi tệp Client để biến Client trở thành Trojan ăn cắp thông tin.
Cũng tại thời điểm đó, Discord đã tuyên bố rằng họ sẽ xem xét các cách để ngăn chặn điều này xảy ra lần nữa nhưng thật không may, những kế hoạch đó không bao giờ xảy ra.
Cách thích hợp nhất ở thời điểm hiện tại và Discord cần phải tạo một mã băm của mỗi tệp từ Client khi có một phiên bản mới được phát hành. Nếu một tệp nào đó được sửa đổi, thì khi đó mã băm sẽ khác hoàn toàn và tệp tức nhiên là đã bị thay đổi.
Và sau đó Discord có thể thực hiện kiểm tra tính toàn vện của tệp mỗi khi khởi động và nếu có tệp nào đó được phát hiện đã thay đổi, hãy hiển thị một thông báo giống như thông báo bên dưới được tạo từ BleepingComputer.
Mô Phỏng thông báo kiểm tra tệp Discord
Cho đến khi Discord bổ sung tính năng toàn vẹn của Client khi khởi động, thì tài khoản Discord sẽ tiếp tục gặp rủi ro từ phần mềm mã độc vì nó có thể thay đổi các tệp từ Client.
BleepingComputer đã liên hệ với Discord về phần mềm mã độc này và tính năng kiểm tra tính toàn vện của tệp nhưng vẫn chưa có hồi âm.
AnarchyGrabber là một phần mềm mã độc phổ biến được phân phối trên các diễn đàn Hacking và trong video từ Youtube đã cho thấy phần mềm độc hại được thi thì mã thông báo của người dùng sẽ bị đánh cắp nếu đã đăng nhập vào Discord
Những mã thông báo người dùng này sau đó được tải lên lại kênh Discord dưới sự kiểm soát của kẻ tấn công, nơi mà có thể thu thập và sử dụng bởi kẻ tấn công để đăng nhập với tư cách là nạn nhân đã bị đánh cắp trước đó.
Phiên bản gốc của phần mềm mã độc ở dạng có thể thực thi và chỉ đánh cắp thông tin khi đang chạy nhưng cũng dễ dàng bị phát hiện bởi những phần mềm bảo mật
Sửa đổi tệp máy khách Discord để không bị phát hiện.
Để làm cho chương trình chống virus khó phát hiện, một "threat actor" đã cập nhật các mã độc cho AnarchyGrabber để nó có thể sửa đổi các tệp tin JavaScript được sử dụng bởi Discord Client và Inject mã của nó mỗi lần khi nó thực thi.
Phiên bản mới này được đặt tên là AnarchyGrabber2 và khi được thực thi nó sẽ sửa đổi tệp %AppData%\Discord\[version]\modules\discord_desktop_core\index.js nhằm Inject JavaScript được tạo bởi người phát triển phần mềm mã độc.
Ví dụ: tệp index.js thường sẽ trông giống với ảnh bên dưới nếu chưa có sự thay đổi
Tệp Index.js khi chưa được thay đổi
Khi AnarchyGrabber2 thực thi tệp đã bị thay đổi
Với những thay đổi này, khi Discord được khởi động thì các tệp mã độc JavaScript sẽ được tải xuống
Ngay khi đó nếu người dùng đăng nhập vào Discord, các tập lệnh sẽ sử dụng một webhook để đăng mã thông báo của người dùng nạn nhân lên kênh Discord của "threat actor" với thông báo là "Brought to you by The Anarchy Token Grabber".
Đánh cắp mã thông báo người dùng Discord
Điều đáng quan tâm là ngay khi bị phát hiện bởi chương trình bảo mật lúc khởi chạy thì mã độc cũng đã thay đổi tệp ở Discord Client luôn rồi.
Vì phần mềm bảo mật chỉ phát hiện sự thay đổi ở những tệp Client, còn các đoạn mã thì được bỏ qua và vẫn còn tồn tại trong máy tính. Người dùng thì không hề biết là anti đã bỏ qua sự thay đổi này, kéo theo đó là tài khoản đã bị đánh cắp mà không hề biết.
Discord cần phải kiểm tra tính toàn vẹn của Client
Đây không phải là lần đầu tiên phần mềm Discord bị mã độc sửa đổi các tệp JavaScript của Client
Vào tháng 10 năm 2019, BleepingComputer đã "
Cũng tại thời điểm đó, Discord đã tuyên bố rằng họ sẽ xem xét các cách để ngăn chặn điều này xảy ra lần nữa nhưng thật không may, những kế hoạch đó không bao giờ xảy ra.
Cách thích hợp nhất ở thời điểm hiện tại và Discord cần phải tạo một mã băm của mỗi tệp từ Client khi có một phiên bản mới được phát hành. Nếu một tệp nào đó được sửa đổi, thì khi đó mã băm sẽ khác hoàn toàn và tệp tức nhiên là đã bị thay đổi.
Và sau đó Discord có thể thực hiện kiểm tra tính toàn vện của tệp mỗi khi khởi động và nếu có tệp nào đó được phát hiện đã thay đổi, hãy hiển thị một thông báo giống như thông báo bên dưới được tạo từ BleepingComputer.
Mô Phỏng thông báo kiểm tra tệp Discord
BleepingComputer đã liên hệ với Discord về phần mềm mã độc này và tính năng kiểm tra tính toàn vện của tệp nhưng vẫn chưa có hồi âm.
Nguồn | BleepingComputer
Dịch còn sai sót có gì A/C/E bỏ qua
Dịch còn sai sót có gì A/C/E bỏ qua
