[Discord] Les grabbers de token, comment ça marche ?
Vous connaissez sûrement les grabbers de token sur Discord, mais comment ça marche et comment s'en protéger ? On y répond ici

Discord a eu beaucoup de grabbers dans son existence, mais nous allons parler de deux grabbers spécifiquement : un qui a beaucoup gagné en popularité et un tout récent, pas encore très connu.
Commençons par Anarchy Grabber 3
Anarchy Grabber 3 est un grabber qui s'est fait connaître en mai 2020 sur de nombreux articles de sites de news informatiques.
Qu'est-ce que fait ce grabber ?
Lorsque vous ouvrez le fichier .exe du grabber, il va fermer Discord et s'injecter en écrivant dans %appdata%\discord\{discord_version}\modules\discord_desktop_core
les fichiers :
- index.js
: il va être écrasé avec les informations du grabber (notamment le webhook) et le chargement du script d'injection.
- 4n4rchy/inject.js
: il est lancé par index.js avant le lancement de Discord, ce qui permet d'ajouter un script de préchargement à Discord qui tournera en arrière-plan et aura accès à toute l'application.
- 4n4rchy/discordmod.js
: c'est le script chargé en arrière-plan sur Discord qui va récupérer toutes les informations.
Ensuite, il va rouvrir votre Discord en vous déconnectant.
Qu'est-ce que récupère le grabber ?
Le grabber récupère votre ID, email, tag d'utilisateur (ex : pseudo#1234
), votre numéro de téléphone si vous en avez un, votre mot de passe et votre token. D'ailleurs, si la personne qui vous a envoyé Anarchy Grabber 3 a activé la désactivation du 2FA (A2F en français), le grabber va désactiver le 2FA avec votre mot de passe avant d'envoyer le token.
Comment s'en protéger ?
Heureusement, depuis la version 1.0 de Discord, les modules sont passés dans le dossier %localappdata%\Discord\app-{discord_version}\modules\
, donc vous n'avez presque plus aucun risque qu'Anarchy Grabber 3 vous affecte. La clé reste néanmoins de bien faire attention à ce que vous téléchargez et exécutez.
Parlons maintenant du deuxième grabber : FGrabber
FGrabber est très récent et supporte la version 1.0 de Discord. Ce grabber a été créé par des Français (wouhou ?), et est encore plus dangereux qu'Anarchy Grabber 3.
Qu'est-ce que fait ce grabber ?
Comprendre ce que fait ce grabber sur le plan technique s'est avéré plus compliqué que prévu, mais j'ai réussi et il est maintenant temps de vous expliquer comment il fonctionne.
Lorsque vous ouvrez le fichier .exe envoyé par votre pire ennemi, il va d'abord récupérer sur le site de FGrabber les sources du fichier JavaScript avec l'ID FGrabber de votre ennemi et votre MachineGuid
récupéré du registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography
, puis il va écrire dans %localappdata%\Discord\app-{discord_version}\resources
les fichiers :
- app/package.json
: ce fichier sera lu par Electron et chargera ce qui est indiqué comme fichier principal, ici index.js (le sous-programme qui lance Discord).
- app/index.js
: c'est le fichier qui sera exécuté en premier, puis il lancera Discord.
Une fois que vous avez lancé Discord, index.js va localiser discord_desktop_core
selon votre version de Discord et télécharger un second script qui remplacera l'index.js
du discord_desktop_core
, ce qui injectera un malware dans Electron.
Comment s'en protéger ?
Au moment où j'écris cet article, le site est hors ligne, mais il pourrait rouvrir sous le même nom ou un autre. Je vous conseille donc d'ajouter la ligne 0.0.0.0 fgrabber.xyz
à votre fichier hosts (si vous ne savez pas comment faire, voici un tuto) et, comme pour Anarchy Grabber 3, de ne pas télécharger et exécuter n'importe quoi sur Internet.
Veuillez vous connecter ou vous créer un compte pour commenter cet article !
ndjembe
Merci