Når en bruger logger ind på Discord med deres legitimationsoplysninger, sender platformen et brugergodkendelsestoken, der er gemt på computeren, tilbage. Dette token kan derefter bruges til at logge ind som bruger eller til at udstede API-anmodninger, der henter oplysninger om den tilknyttede konto.
Trusselsaktører forsøger ofte at stjæle disse tokens, fordi de gør det muligt for dem at overtage konti eller, endnu værre, misbruge dem til yderligere ondsindede angreb.
Da Discord er blevet det foretrukne fællesskab for NFT-platforme og kryptokurrencygrupper, kan tyveri af et moderatortoken eller andet verificeret fællesskabsmedlem give trusselsaktører mulighed for at udføre svindel og stjæle midler.
AxLocker er en to-i-en-trussel
Forskere ved Cyble analyserede for nylig en prøve af den nye AXLocker ransomware og opdagede, at den ikke kun krypterer filer, men også stjæler et offers Discord-tokens.
Som ransomware er der intet særligt sofistikeret ved malware eller de trusselsaktører, der bruger den.
Når den udføres, ransomware vil målrette mod bestemte filtypenavne og udelukke bestemte mapper, som vist på billedet nedenfor.
Målrettede filer (venstre) og ekskluderede mapper (højre) (Kilde: Cyble)
Når du krypterer en fil, bruger AXLocker AES-algoritmen, men den tilføjer ikke et filtypenavn på de krypterede filer, så de vises med deres normale navne.
Dernæst sender AXLocker et offer-id, systemoplysninger, data gemt i browsere og Discord-tokens til trusselsaktørernes Discord-kanal ved hjælp af en webhook-URL.
For at stjæle Discord-tokenet scanner AxLocker følgende mapper for og udtrækker tokens ved hjælp af regulære udtryk:
- UenighedLokal lagringleveldb
- discordcanary Lokal opbevaring leveldb
- discordptb leveldb
- Opera Software Opera stabil Lokal opbevaring leveldb
- GoogleChromeBrugerdataStandardLokal lagringleveldb
- BraveSoftware Brave-Browser Brugerdata Standard Lokal opbevaring leveldb
- Yandex YandexBrowser Brugerdata Standard Lokal opbevaring leveldb
AXLockers gribefunktion (Cyble)
Til sidst får ofrene serveret et pop op-vindue, der indeholder løsesumnoten, der informerer dem om, at deres data blev krypteret, og hvordan de kontakter trusselsaktøren for at købe en decryptor.
Ofre får 48 timer til at kontakte angriberne med deres offer-id, men løsesumbeløbet er ikke nævnt i noten.
AXLocker løsesum note (Cyble)
Selvom denne ransomware klart er rettet mod forbrugere snarere end virksomheden, kan den stadig udgøre en betydelig trussel mod store samfund.
Derfor, hvis du finder ud af, at AxLocker krypterede din computer, skal du straks ændre din Discord-adgangskode, da det vil ugyldiggøre tokenet stjålet af ransomware.
Selvom dette muligvis ikke hjælper med at gendanne dine filer, forhindrer det yderligere kompromittering af dine konti, data og de samfund, du er involveret i.
Kilde: Cyble
Fotokredit: Cyble