Hacker machen sich gerade eine neue Version des Trojaners AnarchyGrabber zunutze, um die Zugangsdaten argloser Discord-Nutzer zu klauen. Sie verbreiten dazu den Trojaner über die Messaging-Plattform und wandeln den Discord-Client ihrer Opfer in Malware um.
Wie funktioniert AnarchyGrabber?
AnarchyGrabber kursiert derzeit in Version 3. Diese Trojaner-Variante erlaubt es dem Hacker laut Bleepingcomputer, das Passwort und den Nutzernamen des betroffenen Accounts im Klartext zu stehlen, die Zwei-Faktor-Authentifizierung zu deaktivieren und die Malware über die Freundesliste des Opfers an andere Nutzer weiterzuverbreiten.
Hacker tarnen AnarchyGrabber als kostenlose Software oder Cheat-Tool. Wenn ein Discord-Nutzer die vermeintlich harmlose Datei ausführt, modifiziert AnarchyGrabber den Discord-Client, um weitere Javascript-Dateien für die Malware zu laden.
Familienfeier trotz Quarantäne: So richtet ihr Discord ein
Das Malware-Discord loggt den Nutzer dann automatisch aus Discord aus und fordert ihn zu einem neuen Login auf. Loggt sich der Nutzer dann wieder ein, deaktiviert Discord die Zwei-Faktor-Authentifizierung und sendet die E-Mail-Adresse, den Login-Namen, das Nutzer-Token, das Passwort im Klartext und die IP-Adresse an einen Discord-Channel des Hackers.
Der Hacker hat außerdem die Möglichkeit, Kommandos an das Malware-Discord zu senden und Nachrichten mit der Malware an alle Nutzer auf der Freundesliste des Opfers zu schicken.
Was macht AnarchyGrabber so gefährlich?
AnarchyGrabber erweist sich deshalb als besonders perfide Malware, weil die zugehörige Datei nicht im System abgespeichert bleibt und nach der Veränderung des Discord-Clients auch nicht erneut läuft.
Deshalb erkennen Antivirenscanner auch keine schädlichen Systemvorgänge, weshalb viele Nutzer gar nicht merken, dass ein Trojaner ihren Discord-Client infiziert hat.
Wie kann ich mich vor AnarchyGrabber schützen?
Um euch vor AnarchyGrabber zu schützen, gilt zunächst einmal: Nutzt euren gesunden Menschenverstand und ladet keine Dateien aus fragwürdigen Quellen herunter oder führt solche Dateien aus – auch dann nicht, wenn sie von einem Discord-Nutzer stammen, der auf eurer Freundesliste steht.
Wenn ihr wissen wollt, ob AnarchyGrabber euren Discord-Client bereits infiziert hat, öffnet ihr die Datei %AppData%Discord[version]modulesdiscord_desktop_coreindex.js.
Ihr findet den zugehörigen Ordner, indem ihr den Explorer öffnet und den Suchbegriff %appdata% in das Suchfeld eingebt. Alternativ könnt ihr den Ordner auch aufrufen, indem ihr den Ausführen-Dialog mit Windows-Taste + R öffnet und %appdata% eingebt.
Habt ihr die Datei ausfindig gemacht und geöffnet, gleicht ihren Inhalt mit der folgenden Code-Zeile ab:
module.exports = require(‘./core.asar’);
Stimmt der Inhalt der Datei mit dieser Zeile überein und beinhaltet die Datei keine anderen Modifikationen, die ihr vielleicht selbst absichtlich hinzugefügt habt, ist euer Discord-Client nicht infiziert.
Solltet ihr allerdings von dem Trojaner betroffen sein, müsst ihr Discord komplett de- und wieder neuinstallieren, um die Malware loszuwerden. Außerdem solltet ihr dringend euer Passwort für Discord und eure verknüpfte E-Mail-Adresse ändern.