AXLocker-Gruppe von Ransomware stiehlt die Discord-Konten infizierter Benutzer

Forscher von Cyble haben bei der Untersuchung einer AXLocker-Probe eine neue Gruppe von Ransomware-Kampagnen entdeckt, die nicht nur Lösegeld fordert, sondern auch die Discord-Konten der Opfer stiehlt!

Discord ist mittlerweile langsam zur Anlaufstelle für NFT- und Kryptowährungsgruppen geworden, sodass das Stehlen von Tokens des Gruppenmoderators oder anderer prominenter Personen in der Gruppe den Bedrohungsangreifern potenziell ermöglichen könnte, andere Menschen zu betrügen oder deren Geld zu stehlen.

Wenn die Benutzer sich dann in ihr Discord-Konto einloggen, sendet die Plattform das Benutzer-Authentifizierungstoken, das auf dem Computer gespeichert ist, zurück, und dieses Token kann verwendet werden, um den Benutzer bei Discord einzuloggen oder eine API-Anfrage zu stellen, um Informationen über das betreffende Konto abzurufen.

Die Bedrohungsangreifer versuchen immer, diese Tokens zu stehlen, um Zugriff auf das Konto zu erhalten oder sie sogar für weitere böswillige Aktivitäten missbräuchlich zu verwenden. Damit gesagt, gibt es an dieser Ransomware oder den Angreifern, die sie verwenden, nichts Modernes.

Bei der Durchführung des Angriffs zielt die Ransomware auf bestimmte Dateierweiterungen ab und schließt bestimmte Ordner aus, und wenn sie eine Datei verschlüsselt, verwendet AXLocker einen AES-Algorithmus, fügt jedoch nichts zur Dateinamenerweiterung hinzu, sodass die Dateien ihre ursprünglichen Namen behalten.

Darüber hinaus sendet AXLocker dann die Opfer-IDs, alle Daten, die in den Webbrowsern des Opfers gespeichert sind, und schließlich die Discord-Tokens an den Discord-Kanal des Angreifers über einen Webhook-URL-Link.

Auch lesen: Phishing-E-Mail-Kit, das Nordamerikaner während der Feiertage anvisiert!

Um die Discord-Tokens zu stehlen, durchsuchen die AXLocker diese Verzeichnisse und extrahieren Tokens mit den folgenden Ausdrücken.

• Discord\LocalStorage\leveldb

• discordcanary\LocalStorage\leveldb

• discordptb\leveldb

• Opera Software\Opera Storage\Local Storage\leveldb

• Chrome\Chrome\User Data\Default\Local Storage\leveldb

• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb

• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

Am Ende gibt der Bedrohungsangreifer den Opfern ein Pop-up aus, das die Ransomware-Notiz enthält, die sie über ihre Daten informiert, die verschlüsselt wurden, und ihnen mitteilt, wie sie den Entschlüsseler kontaktieren und kaufen können; dann gibt der Bedrohungsangreifer den Opfern 48 Stunden Zeit, um den Bedrohungsangreifer zu kontaktieren. Der Lösegeldbetrag wird jedoch in der Lösegeldnotiz nicht erwähnt.

Obwohl die AXLocker-Ransomware Einzelpersonen anvisiert, nicht Unternehmen, stellt sie dennoch eine Bedrohung für größere Gemeinschaften dar.

Auch lesen: Wie sich Ransomware entwickelt hat und wie Sie sicher bleiben können?