Also die theoretische Anwendung steht auf Englisch alles in der Readme Datei: https://github.com/AstraaDev/Discord-Token-Grabber-V2
Unter anderem steht da auch indirekt drin, dass dein Opfer so "blöd" sein müsste, ein fremdes Python Script einfach so auszuführen, ohne sich dieses vorher in einem Editor, wie VS-Code anzusehen, aber dennoch so technik-versiert Python überhaupt installiert zu haben (oder bestimmte Linux Distros zu verwenden). Zudem funktioniert es nicht auf der neuesten Python Version. Alles in allem also ein eher unwarscheinliches Angriffs-Szenario.
Deshalb macht es auch Sinn, dass erwähnt wird, dass dieses Script nur für Schulungs-Zwecke geeignet ist.
Nun zur Funktionsweise. Das Skript bereitet in folgenden Zeilen alle Ordnerpfarde vor, welches es anschließend durchläuft: [https://github.com/AstraaDev/Discord-Token-Grabber-V2/blob/7bdd3035ba7477c03e6b5c9e313be8554c1bb21e/token_grabber.py#L33-L59]
Ziel ist hauptsächlich der APPDATA Ordner, welchen jedes Betriebssystem besitzt. Dort speichern Browser und andere Apps beispielsweise Tokens ab, die eine Art "temporärer Passwort Ersatz" sind.
Nun zur Verschlüsselung:
- base64 ist gar keine Verschlüsselung, nur eine Encodieung um Daten zu komprimieren.
- AES im GCM modus und CryptUnprotectData aus dem win32crypt Paket scheint bei Tokens für die Ver- bzw. Entschlüsselung dieser verwendet zu werden, soweit ich das auf die Schnelle aus dem Code herauslesen kann [https://github.com/AstraaDev/Discord-Token-Grabber-V2/blob/7bdd3035ba7477c03e6b5c9e313be8554c1bb21e/token_grabber.py#L18]
Am Schluss wird das ganze Erschnüffelte dann noch an die eingegebene Discord Webhook gesendet.
Abschließende Worte: Discord Webhooks so zu missbrauchen wird in kürzester Zeit nach hinten loßgehen. Es gibt beispielsweise die Möglichkeit so etwas bei abuse@discordapp.com anzuzeigen.