新勒索软件加密文件,然后窃取您的 Discord 帐户

2022-11-21 20:31:59 0 439

新的“AXLocker”勒索软件家族不仅会加密受害者的文件并要求支付赎金,还会窃取受感染用户的 Discord 帐户。



新的“AXLocker”勒索软件家族不仅会加密受害者的文件并要求支付赎金,还会窃取受感染用户的 Discord 帐户。

当用户使用他们的凭据登录 Discord 时,平台会发回保存在计算机上的用户身份验证令牌。然后可以使用此令牌以用户身份登录或发出 API 请求以检索有关关联帐户的信息。

威胁行为者通常试图窃取这些令牌,因为这使他们能够接管帐户,或者更糟糕的是,滥用它们进行进一步的恶意攻击。

由于 Discord 已成为 NFT 平台和加密货币团体的首选社区,窃取主持人令牌或其他经过验证的社区成员可能会让威胁行为者进行诈骗并窃取资金。


AxLocker 是一种二合一威胁

Cyble的研究人员  最近分析了新的 AXLocker 勒索软件的样本,发现它不仅可以加密文件,还可以窃取受害者的 Discord 令牌。

作为勒索软件,恶意软件或使用它的威胁行为者并没有什么特别复杂的地方。

执行时,勒索软件将针对某些文件扩展名并排除特定文件夹,如下图所示。


                                   目标文件(左)和排除目录(右) (Cyble)

在加密文件时,AXLocker 使用 AES 算法,但它不会在加密文件上附加文件扩展名,因此它们以正常名称显示。

接下来,AXLocker 使用 Webhook URL 将受害者 ID、系统详细信息、存储在浏览器中的数据和 Discord 令牌发送到威胁参与者的 Discord 频道。

为了窃取 Discord 令牌,AxLocker 将使用正则表达式扫描以下目录并提取令牌:

     Discord\Local Storage\leveldb
     discordcanary\Local Storage\leveldb
     discordptb\leveldb
     Opera Software\Opera Stable\Local Storage\leveldb
     Google\Chrome\User Data\\Default\Local Storage\leveldb
     BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
     Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb


                                   AXLocker的抓取功能 (Cyble)

最终,受害者会收到一个包含赎金票据的弹出窗口,通知他们他们的数据已加密,以及他们如何联系威胁者购买解密器。

受害者有 48 小时的时间通过他们的受害者 ID 与攻击者联系,但赎金金额没有在说明中提及。


                                   AXLocker 赎金票据 (Cyble)

尽管此勒索软件明显针对消费者而非企业,但它仍可能对大型社区构成重大威胁。

因此,如果您发现 AxLocker 加密了您的计算机,您应该立即更改您的 Discord 密码,因为它会使勒索软件窃取的令牌失效。

虽然这可能无助于恢复您的文件,但可以防止您的帐户、数据和您参与的社区进一步受到损害。

关于作者

评论0次

要评论?请先  登录  或  注册