Discord | SOSECURE MORE THAN SECURE

พบ AxLocker Ransomware มีความสามารถในการขโมยบัญชี Discord ของเหยื่อ !! 

By admin News

พบ Ransomware ใหม่ ที่เรียกว่า “AxLocker Ransomware”

นักวิจัยพบ Ransomware ใหม่ ที่เรียกว่า “AxLocker Ransomware” มีความสามารถในการเข้ารหัสไฟล์ของเหยื่อและเรียกค่าไถ่ รวมถึงการขโมยบัญชี Discord ของเครื่องผู้ใช้ที่ติดไวรัสอีกด้วย  
เมื่อผู้ใช้ทำการเข้าสู่ระบบ Discord แพลตฟอร์มจะส่ง Token การตรวจสอบสิทธิ์ผู้ใช้ เนื่องจาก Token นี้ 
ใช้ในการเข้าสู่ระบบของฐานะผู้ใช้หรือเรียกคำขอ API เพื่อทำการดึงข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้  
ซึ่งผู้ไม่ประสงค์ดีมักจะขโมย Token ดังกล่าวเพราะทำให้สามารถเข้าควบคุมบัญชีของผู้ใช้ได้หรือใช้ในการโจมตีรูปแบบอื่นๆ 

เมื่อเริ่มการโจมตีผู้ไม่ประสงค์ดีจะกำหนดเป้าหมายไปยังนามสกุลไฟล์บางไฟล์ ซึ่งไม่รวมโฟลเดอร์เฉพาะ 
ที่แสดงในภาพด้านล่าง 

ไฟล์เป้าหมาย (ซ้าย) และไดเร็กทอรีที่ยกเว้น (ขวา) 

AXLocker ได้ใช้อัลกอริทึม AES เพื่อเข้ารหัสไฟล์ของเหยื่อ จากนั้นจะทำการส่ง ID ของเหยื่อ, รายละเอียดระบบ (System Details), ข้อมูลที่เก็บไว้ในเบราว์เซอร์ และ Tokens ของ Discord ไปยัง Discord ของผู้ไม่ประสงค์ดี โดยใช้ Webhook URL  

ในการขโมย Token ผู้ไม่ประสงค์ดีได้กำหนดเป้าหมายไปยังไดเร็กทอรีต่อไปนี้ : 

  • Discord\Local Storage\leveldb 
  • discordcanary\Local Storage\leveldb 
  • discordptb\leveldb 
  • Opera Software\Opera Stable\Local Storage\leveldb 
  • Google\Chrome\User Data\\Default\Local Storage\leveldb 
  • BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb 
  • Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb 

ฟังก์ชัน Grab ของ AxLocker Ransomware 

AXLocker จะแสดงหน้าต่างป๊อปอัปที่มีข้อความเรียกค่าไถ่ โดยให้คำแนะนำกับเหยื่อในการติดต่อ 
ผู้ไม่ประสงค์ดี เพื่อกู้คืนไฟล์ที่เข้ารหัส ซึ่งมีเวลา 48 ชั่วโมงในการติดต่อและไม่มีการระบุจำนวนเงินค่าไถ่ 

ไฟล์เรียกค่าไถ่ของ AXLocker Ransomware 

IOCs 

MD5  SHA-1  SHA256s 
ab2c19f4c79bc7a2527ab4df85c69559  60a692c6eaf34a042717f54dbec4372848d7a3e3  d51297c4525a9ce3127500059de3596417d031916eb9a52b737a62fb159f61e0 
07563c3b4988c221314fdab4b0500d2f  a5f53c9b0f7956790248607e4122db18ba2b8bd9  0225a30270e5361e410453d4fb0501eb759612f6048ad43591b559d835720224 
a18ac3bfb1be7773182e1367c53ec854  c3d5c1f5ece8f0cf498d4812f981116ad7667286  c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c 
9be47a6394a32e371869298cdf4bdd56  ca349c0ddd6cda3a53ada634c3c1e1d6f494da8a  9e95fcf79fac246ebb5ded254449126b7dd9ab7c26bc3238814eafb1b61ffd7a 
ad1c2d9a87ebc01fa187f2f44d9a977c  03d871509a7369f5622e9ba0e21a14a7e813536d  d9793c24290599662adc4c9cba98a192207d9c5a18360f3a642bd9c07ef70d57 

คำแนะนำ 

  • หากพบการโจมตีจาก AXLocker Ransomware ควรเปลี่ยนรหัสผ่าน Discord ทันที เนื่องจากจะทำให้ Token ที่ขโมยไปไม่สามารถใช้ได้ 
  • ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์ 
  • หมั่นทำการตรวจสอบเวอร์ชันอยู่เสมอ และรีบทำการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุด 
  • ทำการสำรองข้อมูล (Backup) เป็นประจำ 

Ref : https://www.bleepingcomputer.com/news/security/new-axlocker-ransomware-encrypts-files-then-steals-your-discord-account/ 

Ref IOCs : https://blog.cyble.com/2022/11/18/axlocker-octocrypt-and-alice-leading-a-new-wave-of-ransomware-campaigns/ 

 

Share