Le groupe AXLocker de ransomware vole les comptes Discord des utilisateurs infectés

Les chercheurs de Cyble, tout en enquêtant sur un échantillon d’AXLocker, ont découvert un nouveau groupe de campagnes de ransomware dans AXLocker qui non seulement exige une rançon mais vole également les comptes Discord des victimes !

Discord est maintenant devenu lentement la communauté de référence pour les groupes NFT et de cryptomonnaie, donc voler les jetons du modérateur du groupe ou d’autres personnes éminentes dans le groupe pourrait potentiellement permettre aux attaquants de tromper ou de piller l’argent des autres.

Lorsque les utilisateurs se connectent à leur compte Discord, la plateforme renvoie alors le jeton d’authentification de l’utilisateur enregistré sur l’ordinateur, et ce jeton peut être utilisé pour connecter l’utilisateur à Discord ou donner une requête API pour récupérer des informations sur le compte particulier.

Les attaquants essaient toujours de voler ces jetons pour prendre le contrôle du compte ou même les utiliser de manière abusive pour d’autres activités malveillantes. Cela dit, il n’y a rien de moderne dans ce ransomware ou les attaquants qui l’utilisent.

Lors de l’attaque, le ransomware cible certaines extensions de fichiers et exclut des dossiers particuliers, et lorsqu’il crypte un fichier, l’AXLocker utilise un algorithme AES, mais il n’ajoute rien à l’extension du nom de fichier, donc les fichiers conservent leurs noms d’origine.

De plus, l’AXLocker envoie ensuite les ID des victimes, quelles que soient les données stockées dans les navigateurs web de la victime, et enfin, les jetons Discord au canal Discord de l’attaquant en utilisant un lien URL Webbook.

Lire aussi : Kit d’email de phishing ciblant les Nord-Américains pendant la saison des fêtes !

Maintenant, pour voler les jetons Discord, les AXLockers scannent ces répertoires et extraient les jetons en utilisant les expressions suivantes.

• Discord\LocalStorage\leveldb

• discordcanary\LocalStorage\leveldb

• discordptb\leveldb

• Opera Software\Opera Storage\Local Storage\leveldb

• Chrome\Chrome\User Data\Default\Local Storage\leveldb

• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb

• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

À la fin, l’attaquant menace les victimes avec un pop-up contenant la note de ransomware, qui les informe sur leurs données qui ont été cryptées et leur explique comment contacter et acheter le déchiffreur ; ensuite, l’attaquant donne 48 heures aux victimes pour contacter l’attaquant. Cependant, le montant de la rançon n’est pas mentionné dans la note de rançon.

Bien que le ransomware AXLocker cible des individus, pas des entreprises, il représente toujours une menace pour des communautés plus grandes.

Lire aussi : Comment le ransomware a évolué et comment vous pouvez rester en sécurité ?