Le virulent malware AnarchyGrabber revient s'en prendre aux comptes du logiciel de discussion Discord. Il permettait déjà de se connecter au compte de la victime. Désormais, il aspire également son mots de passe, pour tenter de voler des comptes sur d'autres services.

Une injection discrète dans le code du client de Discord, et l’application de discussion se transforme en cheval de Troie. Le Bleeping Computer a exposé une nouvelle version encore plus virulente d’un malware bien connu des hackers, AnarchyGrabber.

AnarchyGrabber est si répandu qu’il est accessible gratuitement sur plusieurs forums de pirates. Il permet, dans sa version la plus basique, de voler le jeton d’utilisateur (appelé user’s token en anglais) de la cible, un identifiant qui prend la forme d’une suite de dizaines de lettres et de chiffres aléatoires, cachée dans les paramètres de Discord.

Un groupe de hackers a amélioré un cheval de Troie déjà très virulent. // Source : Louise Audry pour Numerama

Si une personne extérieure obtient ce jeton, elle peut prendre le contrôle du compte, même si elle n’a aucune autre information d’authentification. Problème : l’utilisateur ne peut que très difficilement mieux protéger cette information, et il ne peut pas la supprimer, ce qui rend l’attaque imparable une fois lancée.

Utiliser le mot de passe de Discord pour se connecter à d’autres comptes

AnarchyGrabber était déjà un fléau, mais un groupe de cybercriminel a développé une nouvelle version, plus virulente : AnarchyGrabber3. Non seulement ce malware vole les jetons d’utilisateurs, mais il dérobe aussi les mots de passe, désactive la double authentification et permet de contaminer d’autres comptes dans la liste d’amis de la victime.

Si le malware aspire les identifiants, ce n’est pas pour se connecter au compte Discord de la victime, puisque le jeton suffit. En revanche, les hackers peuvent se servir du mot de passe de la victime pour tenter de se connecter à d’autres comptes lui appartenant — Facebook ou Twitter par exemple. Ils obtiendraient ainsi l’accès à bien d’autres services. Cette attaque, le credential stuffing, ne fonctionnera que si les victimes utilisent le mot de passe de leur Discord pour d’autres comptes.

AnarchyGrabber se déguise pour que la victime le télécharge

Pour déployer le cheval de Troie, il faut tout de même convaincre la victime de le télécharger sur son système. Les hackers présentent donc AnarchyGrabber sous différentes identités : un coup il se cache derrière un nouvel outil de triche pour votre jeu vidéo préféré, une autre fois il prétend être un logiciel magique pour hacker des ordinateurs ou encore il se fait passer pour une version piratée d’un logiciel habituellement payant. Bref : tous les déguisements sont bons, tant que la cible clique sur le lien de téléchargement et exécute l’installation.

AnarchyGrabber va ensuite modifier des fichiers Javascript (un langage informatique utilisé pour mettre en place toutes sortes d’interactions sur le logiciel) du client Discord, et le transformer en malware.

AnnarchyGrabber3 est hautement contagieux

L’ajout de code malveillant va déconnecter la victime de son compte au lancement du client. L’utilisateur va donc entrer ses identifiants. Puis le client frauduleux enverra l’adresse email, le pseudonyme, le jeton d’utilisateur, le mot de passe et l’adresse IP de la victime sur une chaîne Discord contrôlée par les hackers.

Mais les pirates n’en ont pas fini avec leur victime : ils peuvent ensuite envoyer des liens malveillants (contenant AnarchyGrabber3 ou un autre logiciel malveillant, par exemple à ransomware) à toute sa liste d’ami. Et puisque ces liens proviendront d’une de leurs connaissances, ces nouvelles cibles seront plus susceptibles de cliquer, et de télécharger le malware à leur tour, ce qui accélèrera la propagation du virus.

Difficile à détecter, facile à supprimer

À part appliquer les précautions d’hygiène numérique conseillées contre le phishing, l’attaque est difficile à contrer, car elle passe sous le radar de la majorité des antivirus. Une fois que AnarchyGrabber3 a modifié les fichiers du client Discord, il ne laisse pas de trace…

Mais au moins, il est facile de se débarrasser du cheval de Troie une fois qu’il est repéré : il suffit de désinstaller et réinstaller Discord.

Crédit photo de la une : Ivan Radic/Flickr

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux