Grupo AXLocker de Ransomware Rouba as Contas do Discord de Usuários Infectados

Pesquisadores da Cyble, ao investigar uma amostra do AXLocker, descobriram um novo grupo de campanhas de ransomware no AXLocker que não apenas exige resgate, mas também rouba contas do Discord das vítimas!

O Discord agora se tornou lentamente a comunidade preferida para grupos de NFT e criptomoedas, então roubar tokens do moderador do grupo ou de outras pessoas proeminentes no grupo pode potencialmente permitir que atacantes fraudem ou saquem o dinheiro de outras pessoas.

Quando os usuários fazem login em sua conta do Discord, a plataforma envia de volta o token de autenticação do usuário salvo no computador, e esse token pode ser usado para fazer login no Discord ou fornece uma solicitação de API para recuperar informações sobre a conta em particular.

Os atacantes sempre tentam roubar esses tokens para obter acesso à conta ou até mesmo usá-los de forma inadequada para atividades maliciosas adicionais. Dito isso, não há nada de moderno sobre esse ransomware ou os atacantes que o utilizam.

Ao realizar o ataque, o ransomware mira certas extensões de arquivo e exclui pastas específicas, e quando está criptografando um arquivo, o AXLocker usa um algoritmo AES, mas não adiciona nada à extensão do nome do arquivo, então os arquivos mantêm seus nomes originais.

Além disso, o AXLocker envia os IDs das vítimas, quaisquer dados armazenados nos navegadores da vítima e, por último, os tokens do Discord para o canal do Discord do atacante usando um link de URL Webhook.

Leia Também: Kit de Email de Phishing Alvo de Norte-Americanos Durante a Temporada de Férias!

Agora, para roubar os tokens do Discord, os AXLockers escaneiam esses diretórios e extraem tokens usando as seguintes expressões.

• Discord\LocalStorage\leveldb

• discordcanary\LocalStorage\leveldb

• discordptb\leveldb

• Opera Software\Opera Storage\Local Storage\leveldb

• Chrome\Chrome\User Data\Default\Local Storage\leveldb

• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb

• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

No final, o atacante ameaça as vítimas com um pop-up que contém a nota do ransomware, que as notifica sobre seus dados que foram criptografados e informa como entrar em contato e comprar o descriptografador; então o atacante dá 48 horas para as vítimas entrarem em contato com o atacante. No entanto, o valor do resgate não é mencionado na nota de resgate.

Embora o ransomware AXLocker tenha como alvo indivíduos, não empresas, ainda representa uma ameaça para comunidades maiores.

Leia Também: Como o Ransomware Evoluiu e Como Você Pode Permanecer Seguro?