الأخبار التكنولوجية والاستعراضات والنصائح!
Blogs4

عميل Discord Trojanized يستحوذ على كلمات المرور ورموز المستخدم

مصدر الصورة: discordapp.com
  • يقوم الممثلون بسرقة حسابات الأشخاص على Discord من خلال دفع تعديل أحصنة طروادة إليهم.
  • المهاجمون يسيطرون على الحسابات ثم يقومون بتوزيع البرامج الضارة على أصدقاء الضحية.
  • يجب أن يؤدي حذف العميل وإعادة تثبيته من المصدر الرسمي إلى إصلاح مشكلة الإصابة.

اكتشف فريق البحث “MalwareHunter” عملية خبيثة تحول عميل تطبيق Discord Chat إلى أداة سرقة كلمات المرور. ينشر الفاعل التهديد الذي يشارك في هذه الحملة دورانًا مخصصًا لـ Trojan “AnarchyGrabber” ، وهو قادر على سرقة كلمات المرور ، وتعطيل المصادقة الثنائية ، بل وحتى نشر أصدقاء الضحية على Discord. يخدع المحتالون حصان طروادة من خلال دفعه كما لعبة الغش أو البرمجيات المقرصنة التي عادة ما تكلف الكثير لشراء. هذه هي الآلية لإقناع الضحايا ، لأن إشراك الهدف هو مطلب مطلق لزراعة “AnarchyGrabber”.

تعمل البرامج الضارة على تحويل عميل Discord إلى برنامج خطير عن طريق تعديل ملفات JavaScript العادية. قام الممثل بإنشاء متغير مخصص لـ “AnarchyGrabber” ، ووضع “3” في رقم الإصدار للإشارة إلى طبيعته التي تمت ترقيتها. عندما يتم تشغيل عميل Discord المصاب ، فإنه يقوم بتحميل “inject.js” من مجلد باسم “4n4rchy” – والذي بدوره يقوم بتحميل “discordmod.js” في العميل نفسه. تتنازل أسماء الملفات عن دور مقتطفات جافا سكريبت ، ولكن من غير المحتمل أن يقوم الضحايا بفحصها يدويًا على أي حال.

موجه تسجيل الدخول المصدر: Bleeping Computer

ستسجل البرامج الضارة المستخدمين تلقائيًا ثم تطالبهم بإعادة تسجيل الدخول. بمجرد قيامهم بذلك ، يقوم طروادة بتعطيل 2FA في حسابهم ويخرج أوراق الاعتماد في شكل نص عادي ورمز المستخدم وعنوان IP الخاص بهم. من هناك ، قد يستخدم المهاجم هذه لتسجيل الدخول كضحية ، ثم ينشر البرامج الضارة إلى أصدقاء المستخدم – الذين سيكونون أكثر انفتاحًا على الثقة في رسالة تأتي من جهات اتصالهم. يتم كل هذا مرة واحدة ، لذلك بعد سرقة بيانات الاعتماد ، تصبح البرامج الضارة خاملة. ومع ذلك ، يظل عميل Discord المصاب جزءًا من الروبوتات.

أوراق الاعتماد المسروقة المصدر: Bleeping Computer

للتحقق مما إذا كان عميل Discord مصابًا بـ “AnarchyGrabber3” ، افتح “٪ AppData٪ Discord [version] modules discord_desktop_core index.js ‘باستخدام تطبيق المفكرة الخاص بك ، وتحقق من المحتويات. عادة ، يجب أن تحصل على سطر واحد يحتوي على ما يلي:

“module.exports = required (” ./ core.asar “) ؛”

إذا كان هناك أي شيء آخر لم تضيفه بنفسك يدويًا ، فمن المرجح أن يكون عميل Discord قد أصيب بالبرامج الضارة. لإصلاح هذه المشكلة ، ما عليك سوى إلغاء تثبيته ثم تثبيته مرة أخرى عن طريق جلب أحدث إصدار منه الرسمي موقع Discord. أخيرًا ، تحقق من ملف “index.js” المذكور أعلاه مرة أخرى للتأكد من أنك تستخدم نسخة واضحة.

نحن نوصيك: