AXLocker 랜섬웨어 그룹이 감염된 사용자의 Discord 계정을 훔칩니다

Cyble의 연구자들은 AXLocker 샘플을 조사하는 과정에서 AXLocker의 새로운 랜섬웨어 캠페인 그룹을 발견했습니다. 이 그룹은 단순히 몸값을 요구할 뿐만 아니라 피해자의 Discord 계정을 훔칩니다!

Discord는 이제 NFT 및 암호화폐 그룹을 위한 커뮤니티로 서서히 자리 잡고 있으며, 그룹 중재자나 그룹 내 다른 저명한 인물의 토큰을 훔치는 것은 위협 공격자가 다른 사람의 돈을 사기치거나 약탈할 수 있는 잠재력을 제공합니다.

사용자가 Discord 계정에 로그인하면 플랫폼은 컴퓨터에 저장된 사용자 인증 토큰을 다시 보내며, 이 토큰은 사용자가 Discord에 로그인하거나 특정 계정에 대한 정보를 검색하기 위한 API 요청을 하는 데 사용될 수 있습니다.

위협 공격자는 항상 이러한 토큰을 훔쳐 계정을 장악하거나 심지어 추가적인 악의적인 활동을 위해 잘못 사용할 수 있습니다. 즉, 이 랜섬웨어나 이를 사용하는 공격자에게는 현대적인 요소가 없습니다.

공격을 수행할 때 랜섬웨어는 특정 파일 확장자를 타겟으로 하고 특정 폴더는 제외하며, 파일을 암호화할 때 AXLocker는 AES 알고리즘을 사용하지만 파일 이름 확장자에 아무것도 추가하지 않으므로 파일은 원래 이름을 유지합니다.

게다가 AXLocker는 피해자 ID, 피해자의 웹 브라우저에 저장된 데이터, 마지막으로 Discord 토큰을 공격자의 Discord 채널로 Webhook URL 링크를 사용하여 전송합니다.

또한 읽기: 휴가 시즌 동안 북미인을 겨냥한 피싱 이메일 키트!

이제 Discord 토큰을 훔치기 위해 AXLocker는 다음 경로를 스캔하고 토큰을 추출합니다.

• Discord\LocalStorage\leveldb
• discordcanary\LocalStorage\leveldb
• discordptb\leveldb
• Opera Software\Opera Storage\Local Storage\leveldb
• Chrome\Chrome\User Data\Default\Local Storage\leveldb
• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb
• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

결국 위협 공격자는 피해자에게 랜섬웨어 노트를 포함한 팝업을 제공하여 그들의 데이터가 암호화되었음을 알리고 복호화기를 구매하고 연락하는 방법을 알려줍니다. 그런 다음 위협 공격자는 피해자에게 48시간 내에 연락하라고 합니다. 그러나 몸값 금액은 랜섬 노트에 언급되지 않습니다.

AXLocker 랜섬웨어는 개인을 타겟으로 하지만, 여전히 더 큰 커뮤니티에 위협을 제기합니다.

또한 읽기: 랜섬웨어가 어떻게 진화했는지 및 안전하게 지내는 방법?