Keluarga ransomware ‘AXLocker’ yang baru tidak hanya mengenkripsi file korban dan menuntut pembayaran uang tebusan, tetapi juga mencuri akun Discord dari pengguna yang terinfeksi.
Saat pengguna masuk ke Discord dengan kredensial mereka, platform mengirimkan kembali token autentikasi pengguna yang disimpan di komputer. Token ini kemudian dapat digunakan untuk masuk sebagai pengguna atau untuk mengeluarkan permintaan API yang mengambil informasi tentang akun terkait.
Pelaku ancaman biasanya mencoba mencuri token ini karena memungkinkan mereka untuk mengambil alih akun atau, lebih buruk lagi, menyalahgunakannya untuk serangan jahat lebih lanjut.
Karena Discord telah menjadi komunitas pilihan untuk platform NFT dan grup cryptocurrency, mencuri token moderator atau anggota komunitas terverifikasi lainnya dapat memungkinkan pelaku ancaman melakukan penipuan dan mencuri dana.
AxLocker adalah ancaman dua-dalam-satu
Peneliti di Cyble baru-baru ini menganalisis sampel ransomware AXLocker baru dan menemukan bahwa itu tidak hanya mengenkripsi file tetapi juga mencuri token Discord korban.
Sebagai ransomware, tidak ada yang canggih tentang malware atau pelaku ancaman yang menggunakannya.
Saat dijalankan, ransomware akan menargetkan ekstensi file tertentu dan mengecualikan folder tertentu, seperti yang ditunjukkan pada gambar di bawah.
Saat mengenkripsi file, AXLocker menggunakan algoritme AES, tetapi tidak menambahkan ekstensi nama file pada file yang dienkripsi, sehingga muncul dengan nama normalnya.
Selanjutnya, AXLocker mengirimkan ID korban, detail sistem, data yang disimpan di browser, dan token Discord ke saluran Discord pelaku ancaman menggunakan URL webhook.
Untuk mencuri token Discord, AxLocker akan memindai direktori berikut dan mengekstrak token menggunakan ekspresi reguler:
- Perselisihan\Penyimpanan Lokal\leveldb
- discordcanary\Local Storage\leveldb
- discordptb\leveldb
- Perangkat Lunak Opera\Opera Stable\Penyimpanan Lokal\leveldb
- Google\Chrome\Data Pengguna\\Default\Penyimpanan Lokal\leveldb
- BraveSoftware\Brave-Browser\Data Pengguna\Default\Penyimpanan Lokal\leveldb
- Yandex\YandexBrowser\Data Pengguna\Default\Penyimpanan Lokal\leveldb
Akhirnya, korban disajikan jendela pop-up yang berisi catatan tebusan, memberi tahu mereka bahwa data mereka dienkripsi dan bagaimana mereka menghubungi pelaku ancaman untuk membeli dekripsi.
Korban diberi waktu 48 jam untuk menghubungi penyerang dengan ID korban mereka, tetapi jumlah uang tebusan tidak disebutkan dalam catatan.
Sementara ransomware ini jelas menargetkan konsumen daripada perusahaan, itu masih bisa menjadi ancaman yang signifikan bagi komunitas besar.
Oleh karena itu, jika Anda menemukan bahwa AxLocker mengenkripsi komputer Anda, Anda harus segera mengubah kata sandi Discord Anda, karena ini akan membatalkan token yang dicuri oleh ransomware.
Meskipun ini mungkin tidak membantu memulihkan file Anda, ini akan mencegah penyusupan lebih lanjut terhadap akun, data, dan komunitas tempat Anda terlibat.
