Author

Topic: Discord App Client kann eure Passwörter , Coins stehlen über PM Links ! (Read 527 times)

legendary
Activity: 3164
Merit: 3290
Bzgl. Discord ...
Das ist sicher eines jener Tools, welches aktuell neben Telegram am meisten Angriffen unterliegt ... und offenbar nach wie vor auch relativ einfach angreifbar ist. Es gibt bspw. eigene Github-Sammlungen verschiedenster Angriffsvektoren die teilweise nach wie vor nicht gepatched sind: https://github.com/ecriminal/Discord-Exploit-Collection
Das mit denn exploits und verschienden Angriffsvektoren gibt es so ziehmlich überall sei es auf Twitter , Facebook , Instagram und wie sie noch alle heißen.
Zudem gibt es eigentlich bei Discord eine super funktion die es nur erlaubt von angenommenen Freunden auf seiner Liste persönliche nachrichten zu erhalten.
Aber viele haben diese funktion nicht aktiviert , das heißt wenn ein unbekannter dir eine pm schreiben will geht das nicht.

Danke für deine erneute Warnung. Eigentlich sollte es jedem klar sein das man jeden Link, Datei und auch Bilder aus solchen unbekannten Quellen immer skeptisch gegenüber stehen sollte. Aber in unserer schnelllebigen Welt passiert es leider viel zu oft das man abgelenkt ist und gedankenverloren mal einfach drauf klickt. Genau darauf zielen diese Scammer ab Undecided
Daher kann man es nicht oft genug lesen/schreiben was für folgen dies haben kann.
Immer wieder gerne .
Es ist im und vom prinzip her eigentlich immer das gleiche das meistens eben der benutzer der vor dem Rechner sitzt zu 80% der auslöser ist wenn ein Hack oder exploit ,
des jeweiligen oder eigenen Accounts passiert , wenn sachen angeklickt werden.
Ablenkung und schnelles handeln weil unter zeitdruck ist aufjedenfall auch ein faktor das stimmt.
legendary
Activity: 1078
Merit: 1307
Es gibt mal wieder was neues bezüglich Discord und die Sicherheit eueres Accounts !

Ich habe gestern einen Beitrag in einem Discord Channel gelesen bzw war es eine Warnung über einen neuen Exploit .
Danke für deine erneute Warnung. Eigentlich sollte es jedem klar sein das man jeden Link, Datei und auch Bilder aus solchen unbekannten Quellen immer skeptisch gegenüber stehen sollte. Aber in unserer schnelllebigen Welt passiert es leider viel zu oft das man abgelenkt ist und gedankenverloren mal einfach drauf klickt. Genau darauf zielen diese Scammer ab Undecided
Daher kann man es nicht oft genug lesen/schreiben was für folgen dies haben kann.
legendary
Activity: 2296
Merit: 2721
Enjoy 500% bonus + 70 FS
Bzgl. Discord ...
Das ist sicher eines jener Tools, welches aktuell neben Telegram am meisten Angriffen unterliegt ... und offenbar nach wie vor auch relativ einfach angreifbar ist. Es gibt bspw. eigene Github-Sammlungen verschiedenster Angriffsvektoren die teilweise nach wie vor nicht gepatched sind: https://github.com/ecriminal/Discord-Exploit-Collection

legendary
Activity: 3164
Merit: 3290
Es gibt mal wieder was neues bezüglich Discord und die Sicherheit eueres Accounts !

Ich habe gestern einen Beitrag in einem Discord Channel gelesen bzw war es eine Warnung über einen neuen Exploit .
Demnach soll es momentan wieder vermehrt dazu kommen das Discord User persönliche Nachrichten bekommen von unbekannten User Accounts.
In dieser persönlichen Nachricht wird darum gebeten auf das Bild zu klicken das ebenfalls in der PM mit gesendet wurde mit dem verweis,
bitte auf das Bild zu klicken und nachzuschauen ob man es öffnen kann und man das Bild sieht oder anschauen kann.

Das sieht dann ungefähr so aus und dies ist ein auszug und Bild wie es auschauen kann wenn ihr die PM bekommt :


Source : Icarus Discord channel

Erst sieht es so aus als ob das Bild ständig lädt und ihr nichts sieht.
Genau hier liegt der punkt , denn wenn ihr das Bild anklickt wird im hintergrund ein script aktiviert das ihr nicht sieht.
Hierbei soll dies es ermöglichen euren Discord User token zu bekommen und euren Account trotz 2FA zu hacken.

Also seit bitte vorsichtig und wachsam was ihr in Discord anklickt.
Sobald ich mehr info darüber habe schreibe ich natürlich hier.
legendary
Activity: 3164
Merit: 3290
Ich erhalte ähnliche E-Mails nachdem ich Transaktionen mit PayPal durchgeführt habe, und ich verstehe nicht wie. Die verwendete Email ist nicht mit seltsamen Websites oder sozialen Medien verbunden. Es wird hauptsächlich für meine finanziellen oder beruflichen Aktivitäten verwendet.

Das ist ja intressant und gut zu wissen das ich da nicht der einzige bin.
Die frage ist aber wie das passiert ! Es macht auch keinen unterschied ob ich vom smartphone mit der app oder es am Computer mache.
Meistens oder eigentlich immer lösche ich diese sachen und habe mich noch nicht weiter damit beschäftigt.
Aber mal schauen , wenn ich die Zeit habe werde ich da mal was starten und nachforschungen betreiben.
legendary
Activity: 2730
Merit: 7065
Das problem ist das viele einfach dann nur die Links in den PMs sehen und die dann anklicken nachdem sie nur schnell die PM gelesen haben .
Das ist genau der Grund warum es so viele Scams gibt. Sie sind lukrativ für Betrüger, weil die Leute nicht darauf achten was sie tun.

Bei jeden neuen Update für wallets oder was auch immer sollte auf die Webseite geschaut werden und man sollte nachschauen und sich informieren ob die News , Updates auch wirklich stimmen.
+1

Dankeschön , und dazu fällt mir auch ein das bei paypal mir sowas ähnliches passiert ist .
Habe vor ein paar wochen eine Paypal zahlung gemacht ohne probleme , und nach ein paar stunden bekamm ich emails von 3 verschiedenen paypal support seiten ( die natürlich fake waren )
und die mich gebeten hatten meine daten zu aktualisieren da irgend was mit der transaktion schief gelaufen ist. Alle 3 seiten hatten zudem 3 verschieden Transaktions nummern  Cheesy.
Ich erhalte ähnliche E-Mails nachdem ich Transaktionen mit PayPal durchgeführt habe, und ich verstehe nicht wie. Die verwendete Email ist nicht mit seltsamen Websites oder sozialen Medien verbunden. Es wird hauptsächlich für meine finanziellen oder beruflichen Aktivitäten verwendet.
legendary
Activity: 3164
Merit: 3290
Echte Projekte kontaktieren Benutzer nicht und bieten ihnen Software Updates oder Kryptowährungen an. Jeder muss das verstehen.

Genau so ist es , alle wirklichen Projekte die es ernst meinen machen ihre Updates für wallets oder neue Informationen meistens in deren News Channels oder Update Channels.
Das problem ist das viele einfach dann nur die Links in den PMs sehen und die dann anklicken nachdem sie nur schnell die PM gelesen haben .
Bei jeden neuen Update für wallets oder was auch immer sollte auf die Webseite geschaut werden und man sollte nachschauen und sich informieren ob die News , Updates auch wirklich stimmen.

Super Thread @Lafu! Neben deinen sehr wichtigen Hinweisen zu Discord, kann ich vielleicht auch noch eine kurze Anekdote zu Telegram erzählen, nachdem Pmalek Telegram im vorherigen Post angesprochen hat.

Dankeschön , und dazu fällt mir auch ein das bei paypal mir sowas ähnliches passiert ist .
Habe vor ein paar wochen eine Paypal zahlung gemacht ohne probleme , und nach ein paar stunden bekamm ich emails von 3 verschiedenen paypal support seiten ( die natürlich fake waren )
und die mich gebeten hatten meine daten zu aktualisieren da irgend was mit der transaktion schief gelaufen ist. Alle 3 seiten hatten zudem 3 verschieden Transaktions nummern  Cheesy.

Das böse und die Scammer schlafen nie und sie benutzen jede möglichkeit um an Geld oder Daten zu kommen.
legendary
Activity: 1624
Merit: 4417
Top-tier crypto casino and sportsbook
Super Thread @Lafu! Neben deinen sehr wichtigen Hinweisen zu Discord, kann ich vielleicht auch noch eine kurze Anekdote zu Telegram erzählen, nachdem Pmalek Telegram im vorherigen Post angesprochen hat.

Dasselbe passiert über Telegram auf viele verschiedene Weisen. Klicken sie nicht auf unbekannte Links, laden sie nichts herunter und denken sie nicht, dass Ihnen jemand kostenloses Geld geben wird und alles wird gut.

Da kann ich nur zustimmen. Insbesondere in Telegramchanneln von Betreibern bei denen es oft zu "Kundenkontakt" kommt (insbesondere die ganzen BTC-Gutscheinanbieter), wird dazu übergegangen, Fragen an den Support fast ausschließlich per e-Mail zu bearbeiten. Zusätzlich findet man fast in allen Gruppen fettgedruckte Hinweise, das Admins und Moderatoren niemals den Erstkontakt suchen und/oder Fragen zu einzelnen Bestellungen erst recht nicht via Telegram beantworten.

Und wie der Zufall so will, hatte ich vor einigen Wochen einmal ein kleines Problem bzgl. einer Bestellung und habe meine Frage dann doch in einem Telegram-Channel eines Gutscheinanbieters gestellt (weil ich mir einfach eine schnelle Antwort meines doch sehr allgemeinen Problems erhofft habe). Prompt schrieben mich drei unterschiedliche fake "Support"-Accounts an, die natürlich sofort sensible Daten von mir wollten (hab direkt durchschaut, dass das wohl Scam-Accounts sein müssen, ich habe aber mal weiter "mitgespielt"). Als ich dies ablehnte, erhielt ich anschließend verschiedene Links zu dubiosen Support-Websiten auf denen ich meine Daten eintragen sollte. Auch das habe ich natürlich abgelehnt. Jetzt wurde der fake "Support" immer dreister und wollte mich mit angeblichen Bonus-Gutschriften locken, wenn ich meine Daten in die falsche Support-Maske auf der Website eingebe. Diese Dreistigkeit endete dann in einem hitzigen Wortgefecht.

Meine Anfrage wurde dann letztlich via e-Mail vom echten Support nach einigen Stunden beantwortet.  Wink

Letztlich muss man aber wieder betonen wie wichtig es ist, stets achtsam zu bleiben. Nur eine kleine Unaufmerksamkeit kann dazu führen, dass man sensible Daten an Betrüger herausgibt und/oder gefährliche Links mit Malware anklickt. Ich muss ehrlich sagen, dass mich diese Situation ziemlich gebrandmarkt hat und ich jetzt nochmal schärfer hinschaue, als ich es sowieso schon mache.
legendary
Activity: 2730
Merit: 7065
Echte Projekte kontaktieren Benutzer nicht und bieten ihnen Software Updates oder Kryptowährungen an. Jeder muss das verstehen. Heutzutage, wenn jemand Sie über PM kontaktiert und Sonderangebote oder Geld anbietet, ist dies in fast allen Fällen ein Betrugsversuch. Dasselbe passiert über Telegram auf viele verschiedene Weisen. Klicken sie nicht auf unbekannte Links, laden sie nichts herunter und denken sie nicht, dass Ihnen jemand kostenloses Geld geben wird und alles wird gut.
legendary
Activity: 3164
Merit: 3290
Auf gleichem Wege kann auch jegliche andere Malware verbreitet werden.
Generell gilt sowieso, dass man keine nicht vertrauenswürdige Software ausführen sollte.
Aber viele lernen das leider nur auf die harte Tour.
Und sich verbreitet wie ein Wurm meintest du wohl. Würmer verbreiten sich automatisch. Trojaner ist ein Begriff, der nichts über die Verbreitungstechnik aussagt  Tongue

Klar ist das verbreiten von malware , trojanern und schädlicher Software vom prinzip her immer das gleiche. Infiziert --> weiterverteilen per email oder freundesliste an andere!
Und du hast da sowas von recht das man nicht vertrauenswürdige Software einfach so ausführen sollte , erstmal nachforschen und eventuell sich darüber erkundigen bevor man diese Installiert.
Ich durfte das auch auf die harte tour lernen als nocht nicht solange hier im Forum war , deswegen versuche ich so viele darauf aufmerksam zu machen und ihr Geld bzw Coins zu schützen.

legendary
Activity: 1624
Merit: 2481
Auf gleichem Wege kann auch jegliche andere Malware verbreitet werden.
Generell gilt sowieso, dass man keine nicht vertrauenswürdige Software ausführen sollte.

Aber viele lernen das leider nur auf die harte Tour.


[...] und sich verbreitet  (wie ein Trojaner) durch direkte Nachrichten an die Freundesliste mit auffälligen Angeboten [...]

Und sich verbreitet wie ein Wurm meintest du wohl. Würmer verbreiten sich automatisch. Trojaner ist ein Begriff, der nichts über die Verbreitungstechnik aussagt  Tongue
legendary
Activity: 3164
Merit: 3290
Da ich jetzt fast über ein Jahr auf der Jagd nach Malware und verdächtigen Links hier im Forum und auf Discord bin
möchte ich einen Artikel den ich gefunden habe auch hier schreiben und euch darüber Informieren
was für eine Art Malware das ist und wie das passieren kann.
Ich glaube das viele Discord benutzen wegen dem einen oder anderen Projekt und auch ist es erklärt wie ihr die Infektion (falls ihr betroffen seit) wieder los werdet.


Habe diesen Thread zuerst in Beginners & Help im englischen BEreich geschrieben : Discord Deskt. client can steal your Password,Cryptocurrencies via PM Link!
Der Hauptartikel ist auf Englisch darum hier die übersetzung!


AnarchyGrabber ist ein beliebter Trojaner der häufig kostenlos in Hackerforen und in Youtube Videos verbreitet wird in denen erklärt wird wie Discord benutzertoken und Accounts gestohlen werden.
Die Hacker verteilen den Trojaner dann auf Discord getarnt als wäre es ein Cheat für ein Spiel , ein Hacking Tool oder ein Update für eine Wallet oder Software.

Dies ist der AnarchyGrabber3 ein hoch ansteckender Trojaner der Passwörter und mehr aus Discord Accounts stiehlt,
2FA deaktiviert  und sich verbreitet  (wie ein Trojaner) durch direkte Nachrichten an die Freundesliste mit auffälligen Angeboten (kostenlose kostenpflichtige Spiele, kostenlose Premium Software oder sogar kostenlose Kryptowährungen).
Dieser Trojaner, Malware greift Benutzer mit der Desktop-Version von Discord an.

Sobald der Trojaner das System des Opfers infiziert hat überschreibt er die JavaScript Datei index.js im Pfad des Discord Clients und verbindet sich automatisch mit den Computer des Angreifers ,
der sich dann in das Konto einloggen und alle Coins entfernen kann.

Woher weis ich ob ich mit dem AnarchyGrabber3 Trojaner infiziert bin?

Ihr müsst in das Verzeichnis auf euerer Festplatte gehen mit dem der Discord Client aufgerufen wird.
In den meisten Fällen (für Windows Benutzer) ist dies  C:\Users\Your_user\AppData\Roaming\Discord\version\modules\discord_desktop_core.
Wenn ihr dort seit , öffnent ihr die Datei mit einem Editor index.js



Überprüft ob eure Datei wie im folgenden Bild aussieht.
Wenn dort zusätzliche Textzeilen vorhanden sind wurde euer Discord Client wahrscheinlich von diesem Trojaner kompromittiert.



Wenn ihr infiziert seit gibt es dort noch eine andere JavaScript Datei des Modifizierten Discord Clients.
Diese Datei lädt dann eine weitere schädliche Javascript Datei namens discordmod.js in den Client.



Die bösartigen scripte melden den Benutzer dann vom Discord Client ab und fordern euch auf sich neu anzumelden.

Sobald sich das infizierte Opfer anmeldet versucht der geänderte Discord Client die 2FA für das Konto zu deaktivieren wenn dies aktiviert ist.
Der Client verwendet dann einen Discord Webhook um die E Mail Adresse, den Anmeldenamen, den Benutzertoken, das Kennwort und die IP Adresse des Benutzers an einen Discord Kanal der unter der Kontrolle des Angreifers ist zu senden.

Nachdem die ausführbare Datei AnarchyGrabber3 ausgeführt hat und die Discord Clientdateien geändert wurden bleibt diese nicht resident oder wird erneut ausgeführt.
Daher kann die Antivirensoftware keine böswilligen Prozesse erkennen. Der infizierte Benutzer ist dann weiterhin Teil des Botnetzes wenn er eine Verbindung zu Discord herstellt.

Wenn also neben " module.exports = require ('./ core.asar') ;" eine weitere Zeile geschrieben ist solltet ihr schnell eure Internetverbindung deaktivieren,
dann geht zur Systemsteuerung - Software und deinstalliert Discord vollständig.
Ihr solltet danach einige Scans mit verschiedenen Antivirenprogrammen und Malware Erkennungssoftware durchführen um eueren PC zu checken und davon zu reinigen .
Danach könnt ihr Discord erneut installieren oder meine persönlichen Vorschlag , verwendeet die Browser Version für Discord die ist in diesem fall sicherer und kann nicht infiziert werden.

Wie könnt ihr infiziert werden ?

Zum Beispiel

Ihr seit in einem Discord Server Channel von einem Coin Project.
Einer der User im diesem Kanal wird oder ist infiziert oder der Hacker selbst ist dort, er sendet an jeden Benutzer oder zufällig eine PM an euch auf Discord.
Normalerweise erhaltet ihr keine PM direkt vom infizierten Benutzer, dies kann aber auch passieren.
Meistens hat der Benutzer von dem ihr die PM erhaltet den Namen wie das Projekt, nennen wir ihn Wallet Update Bot oder ähnliches.


Source : PM vom meinem Discord

In dieser PM heißt es ihr müsst euere Wallet oder euer Konto oder was auch immer aktualisieren und auf den Link klicken.
Wenn ihr auf den Link klickt und ihr etwas herunterladet oder die Dateien installiert, dann kann es passieren das ihr Infiziert werdet.

Ihr könnt dies vermeiden wenn ihr nur die PM löscht die ihr bekommen habt und nichts anklicken oder herunterladen was ihr nicht kennt.
Die meisten Projekte schicken euch keine PMs und kündigen neue Updates meistens in deren Channels an.
Ihr werdet nicht Infiziert wenn ihr die PM erhaltet





Artikel , Bilder und Sources die für diesen Thread benutzt wurden sind von hier:

https://www.publish0x.com/cryptalk/new-ransomware-attacks-your-discord-account-and-extracts-you-xqokole
https://www.bleepingcomputer.com/news/security/discord-client-turned-into-a-password-stealer-by-updated-malware/
https://cdn.publish0x.com/prod/fs/images/a804cbb676986e45c959f5060270ece10f484a70c83946c089b0c1bb2ebe58af.png
https://cdn.publish0x.com/prod/fs/images/355dbef9f3b5984df03cdb3979a9dc1def0556f205d7f07a138417adb8502e40.png
https://www.bleepstatic.com/images/news/malware/d/discord/anarchygrabber3/4n4rchy-folder.png
https://twitter.com/malwrhunterteam
Jump to: