Esta é a segunda atualização que o Trojan recebeu este ano, pois também foi atualizada em abril para modificar os arquivos do cliente Discord, a fim de evitar a detecção por software antivírus e roubar contas de usuário sempre que alguém se conectar ao popular serviço de bate-papo.

O AnarchyGrabber é distribuído gratuitamente em fóruns de hackers e em vídeos do YouTube, e o cavalo de Troia é usado por criminosos cibernéticos no Discord, que afirmam ser uma fraude de jogo, ferramenta de hacking ou software protegido por direitos autorais.

Em vez disso, modifica os arquivos JavaScript do cliente Discord para transformá-lo em malware que pode roubar o token de usuário Discord da vítima, que é usado por um invasor para fazer login no popular serviço de bate-papo como vítima.

Agora, os hackers lançaram uma versão modificada do Trojan AnarchyGrabber com recursos atualizados e mais poderosos.

O AnarchyGrabber3 é uma nova variante do malware popular que pode roubar as senhas de texto sem formatação da vítima e até mesmo comandar um cliente infectado para espalhar malware para os amigos do Discord da vítima.

Como os invasores agora estão roubando senhas de texto sem formatação, eles também podem usá-las em ataques de preenchimento de credenciais, a fim de comprometer também as outras contas online da vítima.

Quando instalado, o AnarchyGrabber3 modifica o arquivo index.js do cliente Discord para carregar arquivos JavaScript adicionais, incluindo um inject.js personalizado de uma pasta 4n4rchy, além de um arquivo malicioso chamado discordmod.js. Os scripts maliciosos desconectarão o usuário do Discord e solicitarão que ele efetue login novamente.

Quando uma vítima faz login, o cliente Discord modificado tenta desativar o 2FA em sua conta. O cliente então usa um webhook do Discord para enviar o endereço de email do usuário, nome de login, token do usuário, senha de texto sem formatação e endereço IP para um canal do Discord controlado pelo invasor.

O cliente modificado também escutará os comandos enviados pelo invasor assim que a vítima estiver conectada. Um desses comandos pode até ser usado para enviar uma mensagem a todos os amigos da vítima que contém malware que os invasores desejam espalhar.

Esse cavalo de Troia é particularmente perigoso porque dificulta que os usuários comuns saibam que estão infectados, pois o executável do AnarchyGrabber3 não fica no sistema do usuário nem é executado novamente depois que os arquivos do cliente Discord foram modificados.

Felizmente, é muito fácil ver se o seu sistema foi infectado pelo AnarchyGrabber3.

Simplesmente abra o arquivo index.js do Discord em %AppData%Discord[version]modulesdiscord_desktop_core com o Bloco de Notas e procure uma única linha de código parecida com a seguinte: "module.exports=require('./core.asar')". Se o seu cliente não tiver nenhum código adicional ao indicado acima, você está livre do malware.