AXLockerグループのランサムウェアが感染したユーザーのDiscordアカウントを盗む

Cybleの研究者たちは、AXLockerのサンプルを調査している際に、身代金を要求するだけでなく、被害者のDiscordアカウントを盗む新しいランサムウェアキャンペーンのグループを発見しました！

Discordは現在、NFTや暗号通貨グループのためのコミュニティとして徐々に定着してきており、グループのモデレーターや他の著名な人々のトークンを盗むことで、脅威攻撃者が他の人のお金を詐欺したり略奪したりする可能性があります。

ユーザーがDiscordアカウントにログインすると、プラットフォームはコンピュータに保存されたユーザー認証トークンを返送し、このトークンはユーザーがDiscordにログインするために使用されるか、特定のアカウントに関する情報を取得するためのAPIリクエストを提供します。

脅威攻撃者は常にこれらのトークンを盗もうとし、アカウントを取得したり、さらなる悪用のために悪用したりします。とはいえ、このランサムウェアやそれを使用している攻撃者に新しいものはありません。

攻撃を実行する際、ランサムウェアは特定のファイル拡張子をターゲットにし、特定のフォルダーを除外します。そして、ファイルを暗号化する際、AXLockerはAESアルゴリズムを使用しますが、ファイル名の拡張子には何も追加しないため、ファイルは元の名前を保持します。

さらに、AXLockerは被害者のID、被害者のウェブブラウザに保存されているデータ、最後にDiscordトークンを攻撃者のDiscordチャンネルにWebbook URLリンクを使用して送信します。

関連記事: ホリデーシーズン中に北米を狙ったフィッシングメールキット！

Discordトークンを盗むために、AXLockerはこれらのディレクトリをスキャンし、次の式を使用してトークンを抽出します。

• Discord\LocalStorage\leveldb
• discordcanary\LocalStorage\leveldb
• discordptb\leveldb
• Opera Software\Opera Storage\Local Storage\leveldb
• Chrome\Chrome\User Data\Default\Local Storage\leveldb
• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb
• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

最終的に、脅威攻撃者は被害者にランサムウェアのメモが含まれたポップアップを表示し、暗号化されたデータについて通知し、復号化ツールを購入する方法を伝えます。その後、脅威攻撃者は被害者に48時間以内に連絡するように要求します。ただし、身代金の金額はランサムウェアのメモには記載されていません。

AXLockerランサムウェアは個人をターゲットにしていますが、企業ではなく、依然として大きなコミュニティに対して脅威をもたらします。

関連記事: ランサムウェアの進化と安全を保つ方法？