Da ich jetzt fast über ein Jahr auf der Jagd nach Malware und verdächtigen Links hier im Forum und auf Discord bin
möchte ich einen Artikel den ich gefunden habe auch hier schreiben und euch darüber Informieren
was für eine Art Malware das ist und wie das passieren kann.
Ich glaube das viele Discord benutzen wegen dem einen oder anderen Projekt und auch ist es erklärt wie ihr die Infektion (falls ihr betroffen seit) wieder los werdet.Habe diesen Thread zuerst in Beginners & Help im englischen BEreich geschrieben :
Discord Deskt. client can steal your Password,Cryptocurrencies via PM Link!Der Hauptartikel ist auf Englisch darum hier die übersetzung!
AnarchyGrabber ist ein beliebter Trojaner der häufig kostenlos in Hackerforen und in Youtube Videos verbreitet wird in denen erklärt wird wie Discord benutzertoken und Accounts gestohlen werden.
Die Hacker verteilen den Trojaner dann auf Discord getarnt als wäre es ein Cheat für ein Spiel , ein Hacking Tool oder ein Update für eine Wallet oder Software.
Dies ist der
AnarchyGrabber3 ein hoch ansteckender Trojaner der Passwörter und mehr aus Discord Accounts stiehlt,
2FA deaktiviert und sich verbreitet (wie ein Trojaner) durch direkte Nachrichten an die Freundesliste mit auffälligen Angeboten (kostenlose kostenpflichtige Spiele, kostenlose Premium Software oder sogar kostenlose Kryptowährungen).
Dieser Trojaner, Malware greift Benutzer mit der Desktop-Version von Discord an.Sobald der Trojaner das System des Opfers infiziert hat überschreibt er die JavaScript Datei
index.js im Pfad des Discord Clients und verbindet sich automatisch mit den Computer des Angreifers ,
der sich dann in das Konto einloggen und alle Coins entfernen kann.
Woher weis ich ob ich mit dem AnarchyGrabber3 Trojaner infiziert bin?Ihr müsst in das Verzeichnis auf euerer Festplatte gehen mit dem der Discord Client aufgerufen wird.
In den meisten Fällen (für Windows Benutzer) ist dies
C:\Users\Your_user\AppData\Roaming\Discord\version\modules\discord_desktop_core.Wenn ihr dort seit , öffnent ihr die Datei mit einem Editor
index.js
Überprüft ob eure Datei wie im folgenden Bild aussieht.
Wenn dort zusätzliche Textzeilen vorhanden sind wurde euer Discord Client wahrscheinlich von diesem Trojaner kompromittiert.
Wenn ihr infiziert seit gibt es dort noch eine andere JavaScript Datei des Modifizierten Discord Clients.
Diese Datei lädt dann eine weitere schädliche Javascript Datei namens
discordmod.js in den Client.
Die bösartigen scripte melden den Benutzer dann vom Discord Client ab und fordern euch auf sich neu anzumelden.
Sobald sich das infizierte Opfer anmeldet versucht der geänderte Discord Client die 2FA für das Konto zu deaktivieren wenn dies aktiviert ist.
Der Client verwendet dann einen Discord Webhook um die E Mail Adresse, den Anmeldenamen, den Benutzertoken, das Kennwort und die IP Adresse des Benutzers an einen Discord Kanal der unter der Kontrolle des Angreifers ist zu senden.
Nachdem die ausführbare Datei AnarchyGrabber3 ausgeführt hat und die Discord Clientdateien geändert wurden bleibt diese nicht resident oder wird erneut ausgeführt.
Daher kann die Antivirensoftware keine böswilligen Prozesse erkennen. Der infizierte Benutzer ist dann weiterhin Teil des Botnetzes wenn er eine Verbindung zu Discord herstellt.
Wenn also neben "
module.exports = require ('./ core.asar') ;" eine weitere Zeile geschrieben ist solltet ihr schnell eure Internetverbindung deaktivieren,
dann geht zur Systemsteuerung - Software und deinstalliert Discord vollständig.
Ihr solltet danach einige Scans mit verschiedenen Antivirenprogrammen und Malware Erkennungssoftware durchführen um eueren PC zu checken und davon zu reinigen .
Danach könnt ihr Discord erneut installieren oder meine persönlichen Vorschlag , verwendeet die Browser Version für Discord die ist in diesem fall sicherer und kann nicht infiziert werden.
Wie könnt ihr infiziert werden ?Zum BeispielIhr seit in einem Discord Server Channel von einem Coin Project.
Einer der User im diesem Kanal wird oder ist infiziert oder der Hacker selbst ist dort, er sendet an jeden Benutzer oder zufällig eine PM an euch auf Discord.
Normalerweise erhaltet ihr keine PM direkt vom infizierten Benutzer, dies kann aber auch passieren.
Meistens hat der Benutzer von dem ihr die PM erhaltet den Namen wie das Projekt, nennen wir ihn
Wallet Update Bot oder ähnliches.
Source : PM vom meinem Discord
In dieser PM heißt es ihr müsst euere Wallet oder euer Konto oder was auch immer aktualisieren und auf den Link klicken.
Wenn ihr auf den Link klickt und ihr etwas herunterladet oder die Dateien installiert, dann kann es passieren das ihr Infiziert werdet.
Ihr könnt dies vermeiden wenn ihr nur die PM löscht die ihr bekommen habt und nichts anklicken oder herunterladen was ihr nicht kennt.
Die meisten Projekte schicken euch keine PMs und kündigen neue Updates meistens in deren Channels an.
Ihr werdet nicht Infiziert wenn ihr die PM erhaltet
Artikel , Bilder und Sources die für diesen Thread benutzt wurden sind von hier:https://www.publish0x.com/cryptalk/new-ransomware-attacks-your-discord-account-and-extracts-you-xqokolehttps://www.bleepingcomputer.com/news/security/discord-client-turned-into-a-password-stealer-by-updated-malware/https://cdn.publish0x.com/prod/fs/images/a804cbb676986e45c959f5060270ece10f484a70c83946c089b0c1bb2ebe58af.pnghttps://cdn.publish0x.com/prod/fs/images/355dbef9f3b5984df03cdb3979a9dc1def0556f205d7f07a138417adb8502e40.pnghttps://www.bleepstatic.com/images/news/malware/d/discord/anarchygrabber3/4n4rchy-folder.pnghttps://twitter.com/malwrhunterteam
