Keluarga ransomware ‘AXLocker’ yang baru tidak hanya mengenkripsi file korban dan menuntut pembayaran uang tebusan, tetapi juga mencuri akun Discord dari pengguna yang terinfeksi.
Saat pengguna masuk ke Discord dengan kredensial mereka, platform mengirimkan kembali token autentikasi pengguna yang disimpan di komputer. Token ini kemudian dapat digunakan untuk masuk sebagai pengguna atau untuk mengeluarkan permintaan API yang mengambil informasi tentang akun terkait.
Pelaku ancaman biasanya mencoba mencuri token ini karena memungkinkan mereka untuk mengambil alih akun atau, lebih buruk lagi, menyalahgunakannya untuk serangan jahat lebih lanjut.
AxLocker adalah ancaman dua-dalam-satu
peneliti di cyble baru-baru ini menganalisis sampel ransomware AXLocker dan menemukan bahwa itu tidak hanya mengenkripsi file tetapi juga mencuri token perselisihan korban
saat dijalankan, ransomeware akan menargetkan ekstensi file tertentu dan mengecualikan folder tertentu, seperti yang ditunjukkan pada gambar di bawah
saat mengenkripsi file, ACLocker menggunakan algoritme AES, tetapi tidak menambahkan ekstensi file pada file yang dienkripsi, sehingga muncul dengan nama normalnya.
selanjutnya AXLocker mengirimkan ID korban, detail sistem, data yang disimpan di browser, dan token Discord ke saluran Discord pelaku ancaman menggunakan URL webhook.
Untuk mencuri token Discord, AxLocker akan memindai direktori berikut dan mengekstrak token menggunakan ekspresi reguler:
- Discord\Local Storage\leveldb
- discordcanary\Local Storage\leveldb
- discordptb\leveldb
- Opera Software\Opera Stable\Local Storage\leveldb
- Google\Chrome\User Data\\Default\Local Storage\leveldb
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
Victims are given 48 hours to contact the attackers with their victim ID, but the ransom amount isn’t mentioned in the note.
Sementara ransomware ini jelas menargetkan konsumen daripada perusahaan, itu masih bisa menjadi ancaman yang signifikan bagi komunitas besar.
Oleh karena itu, jika Anda menemukan bahwa AxLocker mengenkripsi komputer Anda, Anda harus segera mengubah kata sandi Discord Anda, karena ini akan membatalkan token yang dicuri oleh ransomware.
sumber : bleeping computer
