Ilustrasi
Ilustrasi
Cyberthreat.id - Ditemukan varian malware terbaru dari AnarchyGrabber yang dapat mencuri kata sandi dan token pengguna, menonaktifkan two factor authentication (2FA), dan menyebarkan malware kepada korban maupun teman-temannya.
AnarchyGrabber adalah malware berjenis trojan yang ditawarkan gratis di forum hacker bersamaan dengan video tutorial-nya di YouTube. Malware tersebut secara khusus menargetkan Discord, aplikasi percakapan yang cukup populer digunakan oleh para pemain video games.
Malware Hunter Team, organisasi cybersecurity yang menemukan varian sebelumnya dari malware AnarchyGrabber mampu memodifikasi file JavaScript Discord dan mengubahnya menjadi malware yang dapat mencuri token pengguna Discord.
Sementara, pendistribusian malware dilakukan oleh para peretas dengan menipu korbannya, dimana peretas mengklaim perangkat lunak yang disebarkan merupakan alat peretasan (hacking tools), cheat untuk permainan video dan sebagainya.
Setelah terinstal, kode jahat berjalan untuk mencuri token pengguna Discord. Dengan token pengguna itu, peretas dapat masuk ke akun Discord korbannya.
"Awal pekan ini, seorang hacker merilis trojan AnarchyGrabber yang dimodifikasi dan berisi fitur-fitur baru yang kuat," tulis Bleeping Computer, Minggu (24 Mei 2020),
Varian terbaru dari malware tersebut, dinamakan AnarchyGrabber3. Dengan itu, peretas dapat mencuri kata sandi korban dan memerintahkan file client Discord yang terinfeksi untuk menyebarkan malware ke teman-temannya di Discord.
Penyerang yang berhasil mendapatkan kata sandi korbannya juga dapat memanfaatkan kata sandi itu untuk serangan kredensial akun korban di situs atau platform lain yang digunakan.
Secara teknis, setelah diinstal, AnarchyGrabber3 akan memodifikasi file JavaScript [%aAppData%\Discord\[version]\modules\discord_desktop_core\index.js] untuk memuat file JavaScript lainnya yang ditambahkan oleh malware.
File javascript
Seperti yang Anda lihat pada gambar diatas, ketika aplikasi Discord dibuka, malware AnarchyGrabber3 akan membuat file yang disebut "inject.ds" dari folder 4n4rchy baru. Kode jahat itu kemudian akan mengeluarkan akun pengguna dari Discord dan meminta calon korbannya untuk masuk kembali.
Setelah calon korban mencoba masuk ke dalam akun Discord-nya, file jahat Discord yang dimodifikasi akan berusaha untuk menonaktifkan sistem two factor authentication di akun calon korbannya.
Kemudian, peretas menggunakan webhook - metode untuk menambah atau mengubah perilaku perilaku halaman web atau aplikasi web, dalam hal ini pada Discord. Eksploitasi pada webhook Discord ini bertujuan untuk mengirim email pengguna, nama login, token pengguna, teks kata sandi dan alamat IP ke saluran Discord milik penyerang.
Selanjutnya, file jahat itu juga akan menjalankan perintah yang dikirim peretas. Salah satu perintah yang teridentifikasi adalah pengiriman pesan ke semua teman akun login yang berisi malware AnarchyGrabber3.
Tentunya, itu akan memudahkan para peretas untuk mendistribusikan malware AnarchyGrabber3 ke lebih banyak pengguna Discord.
Untuk mengecek apakah Anda terinfeksi dari malware tersebut, Anda dapat membuka file JavaScript (.js) "%AppData%\Discord\[version]\modules\discord_desktop_core\index.js" di folder aplikasi Discord dengan Notepad. Periksa dengan teliti dan pastikan bahwa tidak ada modifikasi pada file tersebut.
Seharusnya, file yang normal dan tidak dimodifikasi hanya memiliki satu baris kode, yaitu "module.exports = require('./core.asar');." Jika diketahui bahwa terdapat modifikasi pada file itu, maka untuk menghapus AnarchyGrabber adalah menghapus file client dan aplikasi Discord.[]
Redaktur: Arif Rahman
Share:
