Группа вымогателей AXLocker крадет учетные записи Discord зараженных пользователей

Исследователи в Сайблисследуя образец AXLocker, обнаружили новую группу кампаний вымогателей в AXLocker, которые не только требуют выкуп, но и крадут учетные записи Discord жертв!

Discord теперь постепенно стал популярным сообществом для NFT и криптовалютных групп, поэтому кража токенов модератора группы или других известных людей в группе потенциально может позволить злоумышленникам мошенничать или грабить деньги других людей.

Когда пользователи входят в свою учетную запись разногласий, платформа отправляет обратно токен аутентификации пользователя, сохраненный на компьютере, и этот токен можно использовать для входа пользователя в раздор или отправляет запрос API для получения информации о конкретной учетной записи.

Злоумышленники всегда пытаются украсть эти токены, чтобы завладеть учетной записью, или даже использовать их для дальнейших злонамеренных действий. При этом нет ничего современного ни в этой программе-вымогателе, ни в злоумышленниках, которые ее используют.

При проведении атаки программа-вымогатель нацелена на определенные расширения файлов и исключает определенные папки, а при шифровании файла AXLocker использует алгоритм AES, но ничего не добавляет к расширению имени файла, поэтому файлы сохраняют свои первоначальные имена. .

Кроме того, затем AXLocker отправляет идентификаторы жертвы, любые данные, хранящиеся в веб-браузерах жертвы, и, наконец, токены Discord на канал Discord злоумышленника, используя URL-ссылку веб-книги.

Читайте также: Комплект фишинговой электронной почты, нацеленный на жителей Северной Америки в праздничный сезон!

Группа вымогателей AXLocker крадет учетные записи Discord зараженных пользователей 1

Теперь, чтобы украсть токены Discord, AXLockers сканируют эти каталоги и извлекают токены, используя следующие выражения.

  • Discord\LocalStorage\leveldb
  • discordcanary\LocalStorage\leveldb
  • дискордптб\уровеньдб
  • Opera Software\Opera Storage\Local Storage\leveldb
  • Chrome\Chrome\User Data\Default\Local Storage\leveldb
  • Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb
  • Yendex\Yrndex Browser\Данные пользователя\Default/Local Storage\leveldb

Группа вымогателей AXLocker крадет учетные записи Discord зараженных пользователей 2

В конце концов, злоумышленник выдает жертвам всплывающее окно, содержащее примечание о программе-вымогателе, которое уведомляет их об их данных, которые были зашифрованы, и сообщает им о том, как связаться и купить дешифратор; затем злоумышленник дает жертвам 48 часов, чтобы связаться с злоумышленником. Однако сумма выкупа не упоминается в записке о выкупе.

Группа вымогателей AXLocker крадет учетные записи Discord зараженных пользователей 3

Хотя программа-вымогатель AXLocker нацелена на отдельных лиц, а не на компании, она по-прежнему представляет угрозу для более крупных сообществ.

Читайте также: Как развивались программы-вымогатели и как защитить себя?

Похожие записи