AXLocker ransomware: Παραβιάζει Discord accounts

Εντοπίστηκε νέο ransomware με το όνομα “AXLocker“, που κρυπτογραφεί τα αρχεία και απαιτεί λύτρα, ενώ παράλληλα κλέβει και τους λογαριασμούς των θυμάτων στο Discord.

Όταν κάποιος συνδέεται στο Discord με τα credentials του, η πλατφόρμα στέλνει πίσω ένα user authentication token που αποθηκεύεται στη συσκευή. Αυτό μπορεί να χρησιμοποιηθεί είτε για να συνδεθεί κάποιος ως χρήστης είτε για να λάβει πληροφορίες για το λογαριασμό χρησιμοποιώντας API requests.

Οι εγκληματίες του κυβερνοχώρου συχνά κυνηγούν αυτού του είδους τα tokens επειδή τους δίνουν πρόσβαση σε λογαριασμούς ή τους επιτρέπουν να καταχραστούν τους λογαριασμούς για άλλες κακόβουλες δραστηριότητες.

Δείτε επίσης: Hive ransomware: Απέσπασε πάνω από 100 εκατομμύρια

Καθώς το Discord έχει γίνει η πιο δημοφιλής κοινότητα για πλατφόρμες NFT και cryptocurrency groups, η κλοπή ενός moderator token ή άλλου επαληθευμένου μέλους της κοινότητας θα μπορούσε να επιτρέψει στους παράγοντες απειλών να κάνουν απάτες και να κλέψουν χρήματα.

AxLocker ransomware: Μια νέα μεγάλη απειλή

Ερευνητές της Cyble ανέλυσαν πρόσφατα ένα δείγμα του νέου ransomware AXLocker και ήταν αυτοί που ανακάλυψαν ότι πέρα από την κρυπτογράφηση αρχείων, πραγματοποιείται και κλοπή των Discord tokens του θύματος.

Σαν ransomware, το AXLocker δεν είναι ιδιαίτερα “εξελιγμένο” ούτε έχει κάτι ιδιαίτερο που να το ξεχωρίζει από άλλα ransomware. Όταν εκτελείται, στοχεύει αρχεία με συγκεκριμένες επεκτάσεις και αποκλείει ορισμένους φακέλους.

Το AXLocker χρησιμοποιεί τον αλγόριθμο AES για την κρυπτογράφηση αρχείων, αλλά δεν επισυνάπτει κάποια ξεχωριστή επέκταση στα κρυπτογραφημένα αρχεία – εμφανίζονται με τα κανονικά τους ονόματα.

Στη συνέχεια, το AXLocker στέλνει πληροφορίες όπως ID θύματος, λεπτομέρειες συστήματος και Discord tokens στο Discord channel των επιτιθέμενων, μέσω webhook URL.

Δείτε επίσης: ARCrypter ransomware: Στοχεύει οργανισμούς σε όλο τον κόσμο

Για να κλέψει το Discord token, το AxLocker ransomware θα σαρώσει τους ακόλουθους καταλόγους για να βρει και να εξάγει tokens χρησιμοποιώντας κανονικά expressions:

• Discord\Local Storage\leveldb
• discordcanary\Local Storage\leveldb
• discordptb\leveldb
• Opera Software\Opera Stable\Local Storage\leveldb
• Google\Chrome\User Data\\Default\Local Storage\leveldb
• BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
• Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

Τελικά, εμφανίζεται το σημείωμα για τα λύτρα, το οποίο ενημερώνει το θύμα ότι τα δεδομένα του έχουν κρυπτογραφηθεί και του εξηγεί πώς να επικοινωνήσει με τους επιτιθέμενους για να αγοράσει ένα εργαλείο αποκρυπτογράφησης.

Οι επιτιθέμενοι δίνουν στα θύματα 48 ώρες για να επικοινωνήσουν μαζί τους, αλλά δεν αναφέρουν το ποσό των λύτρων στο σημείωμα.

Παρόλο που οι πρωταρχικοί στόχοι αυτού του ransomware φαίνεται να είναι οι καταναλωτές και όχι οι επιχειρήσεις, όλοι θα πρέπει να βρίσκονται σε επαγρύπνηση.

Δείτε επίσης: CommonSpirit Health: Η ransomware επίθεση πιθανότατα επηρεάζει εκατομμύρια Αμερικανούς

Αν δείτε ότι το AxLocker ransomware στόχευσε τον υπολογιστή σας, αλλάξτε επειγόντως τον κωδικό πρόσβασής σας στο Discord, για να καταστήσετε άκυρο το token που έχει κλαπεί από το ransomware.

Αυτό δεν θα σας βοηθήσει να ανακτήσετε τα αρχεία σας, αλλά θα σταματήσει οποιαδήποτε περαιτέρω ζημιά στους λογαριασμούς, τα δεδομένα και τις ομάδες στις οποίες συμμετέχετε.

Το Ransomware είναι ένα από τα πιο κρίσιμα προβλήματα κυβερνοασφάλειας στο διαδίκτυο και πιθανώς η πιο ισχυρή μορφή κυβερνοεγκλήματος που μαστίζει οργανισμούς και απλούς χρήστες σήμερα. Έχει γίνει γρήγορα μια από τις πιο σημαντικές και κερδοφόρες οικογένειες κακόβουλου λογισμικού μεταξύ των Threat Actors (TA).

Περισσότερες λεπτομέρειες για το AxLocker ransomware, μπορείτε να βρείτε στην έκθεση της Cyble.

Πηγή: www.bleepingcomputer.com