Найден новый зловред, который делает Discord для Windows средством шпионажа

На чтение 8 мин. Просмотров 4 Опубликовано

Как взломать Дискорд? Для этого используются шпионские программы, невнимательность пользователей или слабые места в приложении (к примеру, QR код). Для защиты от взлома периодически используйте новый пароль, включите двухфакторную и внесите другие полезные настройки.

Как выполняют взлом

kak-vzlamivajut-2.jpg

В Сети часто можно встретить вопрос, как взломать канал, админку или почту в Дискорд. Для этого используются следующие варианты:

  1. Специальные программы, которые пишутся для взлома. В Сети можно найти множество предложений хакеров, готовых взяться за работу. Но им нельзя доверять. Многие из подобных «специалистов» являются мошенниками, да и сам взлом противозаконный.
  2. Применение уязвимости приложения. Злоумышленники нашли способ, как взломать админку в Дискорде. Для этого используется функция сканирования QR кода в своих целях. Хакер отправляет пользователю специальное сообщение, в котором находится QR код. В последнем указывается информация о возможности получения приза и т. д. Все, что нужно — отсканировать графический ключ. Как только человек этого сделает, он теряет доступ к учетной записи Дискорд. Указанный способ позволяет даже обойти двухфакторную аутентификацию. Этот же метод можно использовать, когда необходимо решить другой вопрос —  как взломать канал.
  3. Невнимательность. Наиболее распространенная причина проблем — безответственность самих пользователей. Взлом Дискорда не составляет труда, если хакер украдет личные данные для доступа к почтовому ящику и запросит восстановление пароля.

Многие пользователи принимают решение скачать взломанный Discord. Часто это делается для получения возможностей подписки Nitro или других специальных опций. Пользоваться такой опцией не рекомендуется, ведь в таком случае можно потерять конфиденциальные данные и получить дополнительные проблемы. Во избежание таких последствий желательно качать только официальную версию.

Что делать

Существует много способов, как взломать Дискорд, получив доступ к серверу, каналу или всей учетной записи. Но в силах пользователя принять меры предосторожности на ПК или смартфоне для защиты. Сделайте следующие шаги:

  1. Не входите в учетную запись Discord по QR-коду, если его создавали не вы. Если вам предлагают отсканировать какой-то ключ, скорее всего, это злоумышленники.
  2. Включите двухфакторную авторизацию, обеспечивающую дополнительную безопасность для пользователей. Его суть в том, что после настройки для входа вам нужно будет ввести пароль и код подтверждения со смартфона.kak-vzlamivajut-1.jpg
  3. Периодически меняйте пароль учетной записи Дискорд, чтобы вас не могли взломать.
  4. Не пользуйтесь чужими компьютерами для входа в аккаунт приложения. В этом случае высок риск кражи логина и пароля для входа.
  5. Используйте и своевременно обновляйте антивирусное ПО.
  6. Выставьте настройки конфиденциальности на уровне приложения. Для этого жмите на символ шестеренки, войдите в раздел Конфиденциальность, а там установите необходимые настройки.
  7. Выставьте необходимые параметры безопасности для сервера Дискорд, чтобы его не могли взломать. Для этого жмите правой кнопкой мышки на сервер, войдите в раздел Настройки, а далее Модерация. Там установите уровень проверки пользователей. Для максимальной надежности желательно установить Самый высокий. Каждый участник должен будет иметь подтвержденный телефон.
  8.  Привяжите к аккаунту Дискорд номер телефона и почту. Даже если злоумышленнику удастся взломать профиль, вы сможете быстро восстановить доступ к учетной записи и внести необходимые изменения.

Похожие способы защиты можно использовать и для телефона. Здесь следуйте таким советам:

  1. Установите настройки конфиденциальности для серверов и каналов в Дискорд, чтобы их не могли взломать.
  2. Используйте антивирусное ПО и периодически сканируйте систему.
  3. Никогда не считывайте QR код с помощью Дискорд, если он сформирован не вами (могут взломать).

При возникновении проблем оформите запрос в службу поддержки. Для этого перейдите по ссылке support.discord.com/hc/ru/requests/new, после чего выберите нужный пункт и заполните предложенные поля. В описании обязательно поясните, что произошло, и какие шаги были сделаны.

В комментариях отпишитесь, сталкивались ли вы с подобными трудностями ранее, и какие шаги были предприняты для решения проблемы.

Рекомендуем:

Как пригласить на серверЗначкиСкачать на компьютерСевераОфициальный сайтГрупповой видеозвонок

Фото: www.bleepingcomputer.com

</sub> Специалисты выявили вредоносную программу Spidey Bot, которая использует легитимный клиент Discord для Windows и превращает его в средство для шпионажа и кражи информации. Discord представляет собой Electron-приложение, и почти вся его функциональность основана на HTML, CSS и JavaScript. Это позволяет хакерам модифицировать ключевые файлы. Так, при установке Spidey Bot добавляет вредоносный JavaScript в файлы %AppData%Discord[version]modulesdiscord_modulesindex.js и %AppData%Discord[version]modulesdiscord_desktop_coreindex.js. Он завершит работу Discord и перезапускает программу для вступления изменений в силу. Вредоносный JavaScript способен использовать различные команды Discord API и функции JavaScript, чтобы собирать данные о пользователе. Затем вся информация передается злоумышленнику через веб-хук Discord. Таким образом, хакеры могут завладеть Discord-токеном пользователя; его часовым поясом; разрешением экрана; локальным IP-адресом; публичным IP-адресом (WebRTC); информацией о пользователе — именем, адресом электронной почты, номером телефона и другими данными; данными о платежной информации; user agent браузера; версией Discord; первыми 50 символами из буфера обмена. Затем malware выполняет функцию fightdio(), которая действует как бэкдор и используется для подключения к удаленному сайту и ожидания дополнительных команд. То есть теперь хакер может украсть платежную информацию, выполнить ряд команд на машине жертвы и установить другое вредоносное ПО. Эксперт Виталий Кремез сообщил, что в ходе заражения используются файлы с именами Blueface Reward Claimer.exe и Synapse X.exe. По его мнению, злоумышленники используют обычные сообщения в Discord для распространения вредоноса.

2019-10-10:#Discord#Malware#Stealer “Spidey Bot”Installs as discord_Desktop_coreindex.js | discord_modulesindex.js | kills Discord to restart itgetpaymentsource() | getclipboard() | webhook senth/t @malwrhunterteamAnime Odd:fightdio() | youareapproachingme | DIO pic.twitter.com/0AZHAnEaRK

— Vitali Kremez (@VK_Intel) October 10, 2019

По данным экспертов, такого рода атаки особенно опасны, так как внешне не проявляют себя. Подозрительную активность можно заметить, лишь обнаружив странные вызовы API и веб-хуков. А защитные решения пока плохо обнаруживают malware. По информации VirusTotal, только 38 антивирусных продуктов из 68 способны заметить Spidey Bot. Если же программа обнаружена и удалена, то измененные файлы Discord по-прежнему остаются зараженными и продолжают выполняться при каждом запуске клиента. Таким образом, нужно удалить приложение Discord и переустановить его. Пользователь может обнаружить зараженные файлы, открыв клиент Discord в «Блокноте». Для %AppData%Discord[version]modulesdiscord_modulesindex.js он должен содержать всего одну строку «module.exports = require (‘./discord_modules.node’);». Для файла %AppData%Discord[version]modulesdiscord_desktop_coreindex.js он должен содержать только «module.exports = require (‘./core.asar’);». Если любой из двух файлов содержит код, отличный от того, что показан выше, необходимо удалить и переустановить клиент.Рекомендуем почитать:

Xakep #262. ROPETWO

Издание Bleeping Computer предупреждает, что новая версия трояна AnarchyGrabber ворует пароли и токены пользователей, отключает 2ФА и распространяет малварь среди друзей жертвы. И для всего этого злоумышленники модифицируют официальный клиент Discord.

Как правило, злоумышленники распространяют AnarchyGrabber через Discord, выдавая трояна за игровой чит, хакерский инструмент или пиратский софт. Если жертва клюнула на эту удочку, после установки троян модифицирует JavaScript-файлы клиента Discord, чтобы превратить его в малварь, которая способна похитить токен пользователя. Используя этот токен, хакеры получают возможность войти в Discord под видом своей жертвы.

Однако на прошлой неделе была замечена новая версия AnarchyGrabber, содержащая ряд новых функций. Теперь малварь носит название AnarchyGrabber3, похищает пароли жертв в формате простого текста, а также может использовать зараженный клиент Discord для дальнейшего распространения угрозы среди всех друзей пострадавшего. Отмечается, что похищенные таким способом пароли могут использоваться для взлома учетных записей на других сайтах.

После установки AnarchyGrabber3 использует файл %AppData%Discord[version]modulesdiscord_desktop_coreindex.js клиента Discord  для загрузки других JavaScript-файлов, добавленных малварью. Как видно на иллюстрации ниже, при запуске Discord модифицированный скрипт загружает файл с именем inject.js из новой папки 4n4rchy.

Затем этот файл загрузит в клиент другой вредоносный файл — discordmod.js. Эти скрипты разлогинивают пользователя из клиента Discord и предлагают ему войти в приложение заново.

Как только жертва осуществляет вход, модифицированный клиент Discord пытается отключить двухфакторную аутентификацию для учетной записи. Затем клиент использует веб-хук для передачи адреса электронной почты, имени пользователя, токена, обычного текстового пароля и IP-адреса на специальный канал Discord, находящийся под контролем злоумышленников.

После этого «подправленный» клиент Discord ждет дальнейших команд от своих операторов. Одна из них может приказать взломанным клиентам Discord разослать вредоносные сообщения всем друзьям жертвы, содержащее все ту же малварь. Исследователи пишут, что этот компонент облегчает преступникам распространение AnarchyGrabber3, а также может применяться для распространения других типов вредоносных программ.

Издание предупреждает, что основная опасность AnarchyGrabber заключается в том, что большинство его жертв даже не знают о том, что были заражены. Так, после запуска исполняемого файла AnarchyGrabber3 и изменения файлов клиента Discord, троян практически никак не проявляет себя и не запускается снова. То есть вредоносного процесса, который мог бы обнаружить антивирус, попросту нет, а зараженный компьютер все равно остается частью ботнета.

Фактически, единственный способ удалить AnarchyGrabber3 — это удалить клиент Discord и установить его заново.

Используемые источники:

  • https://discordgid.ru/kak-vzlamat/
  • https://habr.com/ru/news/t/473110/
  • https://xakep.ru/2020/05/27/anarchygrabber/

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий

© 2024