Une injection discrète dans le code du client de Discord, et l’application de discussion se transforme en cheval de Troie. Le Bleeping Computer a exposé une nouvelle version encore plus virulente d’un malware bien connu des hackers, AnarchyGrabber.
AnarchyGrabber est si répandu qu’il est accessible gratuitement sur plusieurs forums de pirates. Il permet, dans sa version la plus basique, de voler le jeton d’utilisateur (appelé user’s token en anglais) de la cible, un identifiant qui prend la forme d’une suite de dizaines de lettres et de chiffres aléatoires, cachée dans les paramètres de Discord.
Si une personne extérieure obtient ce jeton, elle peut prendre le contrôle du compte, même si elle n’a aucune autre information d’authentification. Problème : l’utilisateur ne peut que très difficilement mieux protéger cette information, et il ne peut pas la supprimer, ce qui rend l’attaque imparable une fois lancée.
Utiliser le mot de passe de Discord pour se connecter à d’autres comptes
AnarchyGrabber était déjà un fléau, mais un groupe de cybercriminel a développé une nouvelle version, plus virulente : AnarchyGrabber3. Non seulement ce malware vole les jetons d’utilisateurs, mais il dérobe aussi les mots de passe, désactive la double authentification et permet de contaminer d’autres comptes dans la liste d’amis de la victime.
Si le malware aspire les identifiants, ce n’est pas pour se connecter au compte Discord de la victime, puisque le jeton suffit. En revanche, les hackers peuvent se servir du mot de passe de la victime pour tenter de se connecter à d’autres comptes lui appartenant — Facebook ou Twitter par exemple. Ils obtiendraient ainsi l’accès à bien d’autres services. Cette attaque, le credential stuffing, ne fonctionnera que si les victimes utilisent le mot de passe de leur Discord pour d’autres comptes.
AnarchyGrabber se déguise pour que la victime le télécharge
Pour déployer le cheval de Troie, il faut tout de même convaincre la victime de le télécharger sur son système. Les hackers présentent donc AnarchyGrabber sous différentes identités : un coup il se cache derrière un nouvel outil de triche pour votre jeu vidéo préféré, une autre fois il prétend être un logiciel magique pour hacker des ordinateurs ou encore il se fait passer pour une version piratée d’un logiciel habituellement payant. Bref : tous les déguisements sont bons, tant que la cible clique sur le lien de téléchargement et exécute l’installation.
AnarchyGrabber va ensuite modifier des fichiers Javascript (un langage informatique utilisé pour mettre en place toutes sortes d’interactions sur le logiciel) du client Discord, et le transformer en malware.
AnnarchyGrabber3 est hautement contagieux
L’ajout de code malveillant va déconnecter la victime de son compte au lancement du client. L’utilisateur va donc entrer ses identifiants. Puis le client frauduleux enverra l’adresse email, le pseudonyme, le jeton d’utilisateur, le mot de passe et l’adresse IP de la victime sur une chaîne Discord contrôlée par les hackers.
Mais les pirates n’en ont pas fini avec leur victime : ils peuvent ensuite envoyer des liens malveillants (contenant AnarchyGrabber3 ou un autre logiciel malveillant, par exemple à ransomware) à toute sa liste d’ami. Et puisque ces liens proviendront d’une de leurs connaissances, ces nouvelles cibles seront plus susceptibles de cliquer, et de télécharger le malware à leur tour, ce qui accélèrera la propagation du virus.
Difficile à détecter, facile à supprimer
À part appliquer les précautions d’hygiène numérique conseillées contre le phishing, l’attaque est difficile à contrer, car elle passe sous le radar de la majorité des antivirus. Une fois que AnarchyGrabber3 a modifié les fichiers du client Discord, il ne laisse pas de trace…
Mais au moins, il est facile de se débarrasser du cheval de Troie une fois qu’il est repéré : il suffit de désinstaller et réinstaller Discord.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.