Hijacked Account

Akun Discord Anda Dapat Dicuri dari Ransomeware Baru

November 21, 2022 by Coffee Bean

Keluarga ransomware ‘AXLocker’ yang baru tidak hanya mengenkripsi file korban dan menuntut pembayaran uang tebusan, tetapi juga mencuri akun Discord dari pengguna yang terinfeksi.

Saat pengguna masuk ke Discord dengan kredensial mereka, platform mengirimkan kembali token autentikasi pengguna yang disimpan di komputer. Token ini kemudian dapat digunakan untuk masuk sebagai pengguna atau untuk mengeluarkan permintaan API yang mengambil informasi tentang akun terkait.

Pelaku ancaman biasanya mencoba mencuri token ini karena memungkinkan mereka untuk mengambil alih akun atau, lebih buruk lagi, menyalahgunakannya untuk serangan jahat lebih lanjut.

AxLocker adalah ancaman dua-dalam-satu
peneliti di cyble baru-baru ini menganalisis sampel ransomware AXLocker dan menemukan bahwa itu tidak hanya mengenkripsi file tetapi juga mencuri token perselisihan korban

saat dijalankan, ransomeware akan menargetkan ekstensi file tertentu dan mengecualikan folder tertentu, seperti yang ditunjukkan pada gambar di bawah

saat mengenkripsi file, ACLocker menggunakan algoritme AES, tetapi tidak menambahkan ekstensi file pada file yang dienkripsi, sehingga muncul dengan nama normalnya.

selanjutnya AXLocker mengirimkan ID korban, detail sistem, data yang disimpan di browser, dan token Discord ke saluran Discord pelaku ancaman menggunakan URL webhook.

Untuk mencuri token Discord, AxLocker akan memindai direktori berikut dan mengekstrak token menggunakan ekspresi reguler:

Discord\Local Storage\leveldb
discordcanary\Local Storage\leveldb
discordptb\leveldb
Opera Software\Opera Stable\Local Storage\leveldb
Google\Chrome\User Data\\Default\Local Storage\leveldb
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

*AXLocker’s grab function (Cyble)*/Fungsi ambil AXLocker (Cyble)

Victims are given 48 hours to contact the attackers with their victim ID, but the ransom amount isn’t mentioned in the note.

Sementara ransomware ini jelas menargetkan konsumen daripada perusahaan, itu masih bisa menjadi ancaman yang signifikan bagi komunitas besar.

Oleh karena itu, jika Anda menemukan bahwa AxLocker mengenkripsi komputer Anda, Anda harus segera mengubah kata sandi Discord Anda, karena ini akan membatalkan token yang dicuri oleh ransomware.

sumber : bleeping computer

Lebih dari 300 ribu akun Spotify diretas dalam serangan credential stuffing

November 24, 2020 by Winnie the Pooh

Peretas telah mencoba untuk mendapatkan akses ke akun Spotify menggunakan database 380 juta data dengan kredensial login dan informasi pribadi yang dikumpulkan dari berbagai sumber.

Sebuah laporan baru yang merinci bagaimana database yang berisi lebih dari 380 juta data, termasuk kredensial login, secara aktif digunakan untuk meretas akun Spotify dapat menjelaskan pelanggaran akun ini.

Serangan umum yang digunakan untuk meretas akun disebut serangan credential stuffing, yaitu ketika pelaku ancaman menggunakan kumpulan besar kombinasi nama pengguna / sandi yang bocor dalam pelanggaran keamanan sebelumnya untuk mendapatkan akses ke akun pengguna di platform online lainnya.

Hari ini, VPNMentor merilis laporan tentang database yang terekspos di Internet yang berisi 300 juta data kombinasi nama pengguna dan kata sandi yang digunakan dalam serangan isian kredensial terhadap Spotify.

Setiap data dalam database ini berisi nama login (alamat email), kata sandi, dan apakah kredensial berhasil masuk ke akun Spotify, seperti yang ditunjukkan di bawah ini.

Tidak diketahui bagaimana 300 juta data ini dikumpulkan, tetapi kemungkinan melalui pelanggaran data atau “koleksi” kredensial yang besar yang biasanya dirilis oleh pelaku ancaman secara gratis.

Para peneliti percaya bahwa 300 juta data yang terdaftar dalam database memungkinkan penyerang menembus 300.000 hingga 350.000 akun Spotify.

Sumber: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Hijacked Account

Cookies Settings