Группа программ-вымогателей AXLocker крадет учетные записи Discord зараженных пользователей

Исследователи из Cyble, изучая образец AXLocker, обнаружили новую группу кампаний программ-вымогателей в AXLocker, которые не только требуют выкуп, но и крадут учетные записи Discord жертв!

Discord теперь медленно стал основным сообществом для NFT и криптовалютных групп, поэтому кража токенов модератора группы или других выдающихся людей в группе может потенциально позволить злоумышленникам обмануть или ограбить деньги других людей.

Когда пользователи входят в свою учетную запись discord, платформа отправляет обратно токен аутентификации пользователя, сохраненный на компьютере, и этот токен может быть использован для входа пользователя в discord или для отправки API-запроса на получение информации о конкретной учетной записи.

Злоумышленники всегда пытаются украсть эти токены, чтобы завладеть учетной записью или даже неправомерно использовать их для дальнейших вредоносных действий. Сказав это, в этом программном обеспечении-вымогателе или злоумышленниках нет ничего современного.

При проведении атаки программное обеспечение-вымогатель нацеливается на определенные расширения файлов и исключает определенные папки, а при шифровании файла AXLocker использует алгоритм AES, но не добавляет ничего к расширению имени файла, так что файлы сохраняют свои оригинальные имена.

Более того, затем AXLocker отправляет идентификаторы жертв, любые данные, хранящиеся в веб-браузерах жертвы, и, наконец, токены Discord в канал Discord злоумышленника с использованием ссылки Webbook URL.

Также читайте: Набор фишинговых писем, нацеленный на североамериканцев в праздничный сезон!

Теперь, чтобы украсть токены Discord, AXLockers сканируют эти директории и извлекают токены, используя следующие выражения.

• Discord\LocalStorage\leveldb

• discordcanary\LocalStorage\leveldb

• discordptb\leveldb

• Opera Software\Opera Storage\Local Storage\leveldb

• Chrome\Chrome\User Data\Default\Local Storage\leveldb

• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb

• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

В конце злоумышленник показывает жертвам всплывающее окно, содержащее уведомление о программном обеспечении-вымогателе, которое уведомляет их о том, что их данные были зашифрованы, и сообщает, как связаться и купить декриптор; затем злоумышленник дает жертвам 48 часов, чтобы связаться с ним. Однако сумма выкупа не упоминается в уведомлении о выкупе.

Хотя программное обеспечение-вымогатель AXLocker нацелено на отдельных лиц, а не на компании, оно все же представляет угрозу для больших сообществ.

Также читайте: Как развивалось программное обеспечение-вымогатель и как вы можете оставаться в безопасности?