Les fans de Discord doivent redoubler de vigilance. Une variante du tristement célèbre trojan AnarchyGrabber circule en ce moment sur cette plateforme de forums et de discussion, particulièrement prisée des joueurs de jeux vidéo mais pas seulement. Ce cheval de Troie se dissimule derrière un prétendu code de triche, outil de hack ou encore d'un soit disant logiciel propriétaire. Par rapport à la précédente version qui sévissait déjà et permettait de modifier des fichiers Javascript du client Discord voler des identifiants, AnarchyGrabber3 apparait beaucoup plus dangereux.

« Un attaquant peut également voler le mot de passe en texte brut d'une victime et ordonner à un client infecté de diffuser des logiciels malveillants vers les amis de la victime sur Discord. En volant des mots de passe en texte brut, les attaquants peuvent les utiliser dans des attaques par stuffing pour compromettre les comptes de la victime sur d'autres sites », explique Bleepingcomputer. « Une fois qu'une victime se connecte, le client Discord modifié tente de désactiver l'authentification double facteur sur son compte. Un webhook Discord est utilisé pour envoyer l'adresse e-mail, le nom de la connexion, le token utilisateur, le mot de passe en texte brut et l'adresse IP de l'utilisateur à un canal Discord contrôlé par l'attaquant ».

Une commande pour vérifier l'infection par AnarchyGrabber3

Discord

Si en ouvrant le fichier « %AppData%\Discord\[version]\modules\discord_desktop_core\index.js » dans Notepad on fait face à ce message il faut dès que possible désinstaller Discord et avant de le réinstaller nettoyer à fond son système. (crédit : Bleepingcomputer)

Le contrôle sur la machine permet ensuite à un attaquant d'exécuter des commandes à distance pour diffuser en masse à la liste de contacts de la victime, d'autres logiciels malveillants. Le principal problème est que les utilisateurs ne peuvent pas forcément s'apercevoir qu'ils ont été piratés. « Une fois que l'exécutable AnarchyGrabber3 est exécuté et modifie les fichiers du client Discord, il ne reste pas résident ou ne s'exécute plus. Par conséquent, aucun logiciel malveillant ne détecte de processus malveillant, l'utilisateur infecté continuera de faire partie du botnet chaque fois qu'il se connectera à Discord », note Bleepingcomputer. 

Afin de vérifier que son système n'est pas infecté par AnarchyGrabber3, il faut ouvrir le fichier « %AppData%\Discord\[version]\modules\discord_desktop_core\index.js » dans Notepad pour s'assurer qu'aucune modification n'a été effectuée dessus. Ainsi, un fichier normal non modifié fera apparaître uniquement la ligne suivante : « module.exports = require('./core.asar'); ».