discord malware anarchygrabber

Discord : le malware AnarchyGrabber3 peut voler votre mot de passe

Une nouvelle version du malware AnarchyGrabber circule sur Discord. Elle permet désormais aux hackers de dérober votre mot de passe en clair et de propager le Cheval de Troie à tous vos amis…

Victime de son succès, Discord s’attire de plus en plus les foudres des cybercriminels. Après le malware SpideyBot capable de dérober les données, une nouvelle variante du malware AnarchyGrabber peut voler les mots de passe en clair.

Ce malware est distribué gratuitement sur les forums de hackers du Dark Web, ou même via des vidéos YouTube. Présenté comme un outil permettant de tricher dans les jeux vidéo, le malgiciel va en réalité modifier les fichiers client JavaScript de Discord pour voler le token de l’utilisateur et permettre au criminel de se connecter à la place de sa victime.

Achetez des leads sur la marketplace I.T

En avril 2020, ce malware de type Cheval de Troie avait déjà été mis à jour par les hackers, afin de modifier les fichiers client de Discord pour échapper à la détection des antivirus et voler les comptes des utilisateurs dès qu’ils se connectent.

À présent, une troisième version d’AnarchyGrabber vient de faire son apparition. Cette nouvelle variante est capable de désactiver l’authentification à deux facteurs, de voler le mot de passe en clair, et de propager le malware aux amis de la victime.

Dès qu’il est installé, AnarchyGrabber3 modifie le fichier index.js du client Discord. Il charge ensuite d’autres fichiers JavaScript dont un fichier inject.js à partir d’un dossier 4n4archy et un fichier malveillant appelé discordmod.js.

L’utilisateur sera déconnecté par le script malicieux, et il lui sera proposé de se connecter à nouveau. C’est alors que l’authentification à deux facteurs sera désactivée.

L’adresse mail, le nom d’utilisateur, le token, le mot de passe en clair et l’adresse IP sont alors transférés vers une chaîne Discord contrôlée par le hacker. Les commandes envoyées par l’attaquant seront aussi prises en compte par le client altéré, et un message contenant le malware pourra être envoyé aux amis de la proie.

Discord : comment vérifier si vous êtes infectés par AnarchyGrabber3 ?

Ce malware est particulièrement redoutable puisque la plupart des utilisateurs ne se rendront même pas compte qu’ils sont infectés. Pour cause, le fichier exécutable ne reste pas sur le système de l’utilisateur et ne s’exécute plus après avoir modifié le fichier client.

Une fois pourvus du mot de passe en clair, les hackers peuvent aussi l’utiliser pour accéder aux comptes de la victime sur d’autres sites web et services en ligne.

Pour vérifier si votre système est infect par AnarchyGrabber3, ouvrez le fichier index.js dans %AppData%\Discord\[version]\modules\discord_desktop_core avec Notepad. Cherchez alors une ligne de code ” module.exports = require(‘./core.asar’) “. Si le client ne contient pas d’autre code, vous n’êtes a priori pas infecté.