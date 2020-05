Di Pierguido Iezzi

In soli cinque anni, la popolarità di Discord, l’applicazione VoIP progettata in particolare per i gamer, è cresciuta vertiginosamente.

Oggi, Discord ha 250 milioni di utenti registrati e circa 15 milioni di loro attivi ogni giorno… ecco perché è diventata un bersaglio popolare per i Criminal Hacker.

Una minaccia persistente che da tempo affligge la Discord è AnarchyGrabber. È un trojan particolarmente furtivo che può rubare le credenziali degli utenti e i token di autenticazione.

I ricercatori di MalwareHunterteam hanno individuato una versione aggiornata di AnarchyGrabber proprio questa settimana. Ora può rubare le password non criptate e rispedirle all’aggressore. Inoltre, cerca attivamente nuove vittime prendendo di mira gli amici di un utente su Discord.

Il malware è anche piuttosto bravo a evitare il rilevamento. AnarchyGrabber funziona modificando il codice JavaScript che il client Discord carica all’avvio. Una volta che il codice viene modificato, il malware stesso sparisce (più o meno).

A peggiorare le cose, i suoi creatori hanno reso il codice AnarchyGrabber liberamente disponibile e i tutorial sono facili da trovare sui siti di video in streaming. Questo rende banale anche per gli aspiranti Criminal hacker relativamente poco esperti lanciare attacchi.

A prima vista i danni potenziali causati da AnarchyGrabber potrebbero sembrare piuttosto bassi. Tuttavia, il rischio che gli utenti siano bloccati fuori dai loro account Discord è solo la punta dell’Iceberg.

Una singola password rubata continuerà ad avere un pericoloso effetto a catena finché ci saranno persone che riutilizzeranno le password in diverse applicazioni e servizi.

Fortunatamente per gli utenti Discord non è difficile individuare l’infezione di AnarchyGrabber, visto che un singolo file contiene la chiave.

Su un computer Windows, troverete quel file qui: %AppData%\Discord\[version]\modules\discord_desktop_core\ . Aprite il file con Notepad e cercate il testo “module.exports”.

Se c’è più di una singola riga nel file, AnarchyGrabber ha probabilmente già colpito. Per risolvere il danno, disinstallate Discord e reinstallarlo usando il link dalla pagina di download ufficiale.

La punta dell’Iceberg

Ovviamente la possibilità di danno diretto causato da AnarchyGrabber non è altissima.

Ma questo può rivelarsi come primo tassello di una cascata di infezioni volte a sottrarre credenziali, principalmente per portare a termine attacchi come il Credential Stuffing.

Si tratta di uno dei più semplici exploit da portare a termine e quindi uno dei metodi preferiti dai Criminal Hacker. Raccogliendo le credenziali da Discord, per esempio, l’attaccante e le applica a una serie di altri account della vittima prescelta, sperando che la stessa combinazione di account/password sia stata utilizzata in altri account per prenderne il controllo (da qui account Takeover).

Come detto, la tendenza a utilizzare la stessa combinazione di password/email rende questo attacco ancora fin troppo efficace.

E non si tratta neppure di un attacco che richiede skill particolarmente avanzate. Anzi, criminali con pochissima – o addirittura nessuna – esperienza informatica, grazie a software appositi, possono controllare e incrociare le credenziali di accesso di milioni di utenti rispetto a centinaia di siti web e servizi dai più innocenti come Netflix fino all’ online banking.