เมนู

AXLocker Ransomware

2022-11-Discord

21 พฤศจิกายน 2565

นักวิจัยจาก Cyble พบแรนซัมแวร์ตระกูลใหม่ ‘AXLocker’ ไม่เพียงแต่เข้ารหัสไฟล์ของผู้ใช้เพื่อเรียกค่าไถ่เท่านั้น แต่ยังขโมยโทเค็น Discord ของผู้ใช้อีกด้วย     

เมื่อผู้ใช้ทำการ login เข้าสู่ระบบ Discord ด้วยข้อมูลประจำตัว แพลตฟอร์มจะทำการส่งโทเค็นเพื่อเป็นการตรวจสอบสิทธิ์ผู้ใช้ที่ถูกบันทึกไว้ในคอมพิวเตอร์ และถูกส่งกลับไป หลังจากที่ทำการตรวจสอบสิทธิ์การใช้งานเรียบร้อยแล้ว โทเค็นนีจะถูกใช้ยืนยันตัวตนเพื่อเข้าสู่ระบบในฐานะของผู้ใช้งาน รวมถึงใช้เพื่อออกคำขอใช้งาน API ต่างๆ ที่สามารถดึงข้อมูลบัญชีที่เกี่ยวข้องได้ ผู้โจมตีจึงต้องการขโมยข้อมูลโทเค็นเหล่านี้ เพราะสามารถใช้ในการควบคุมบัญชีของผู้ใช้งาน หรือที่แย่ไปกว่านั้นคือใช้โทเค็นในทางที่ผิด เพื่อเป็นการโจมตีในขั้นตอนต่อไป

เนื่องจาก Discord กลายเป็นกลุ่มทางเลือกสำหรับแพลตฟอร์ม NFT และกลุ่มสกุลเงินดิจิทัล (cryptocurrency) ทำให้การขโมยโทเค็นของผู้ดูแลระบบ หรือสมาชิกที่ผ่านการตรวจสอบสิทธิ์แล้ว เป็นเป้าหมายหลักของผู้โจมตี  เพื่อขโมยเงิน และหลอกลวงการทำธุรกรรมต่างๆ  

ในการดำเนินการ แรนซัมแวร์จะกำหนดเป้าหมายไฟล์นามสกุลบางไฟล์ แต่ไม่รวมโฟลเดอร์ตามตัวอย่างด้านล่าง

ไฟล์เป้าหมาย (ด้านซ้าย) และไดเร็กทอรีที่ถูกยกเว้น (ด้านขวา)

การเข้ารหัสไฟล์แรนซัมแวร์ AXLocker การใช้วิธีการเข้ารหัสแบบ AES (Advanced Encryption Standard) จึงทำให้ไฟล์ที่ถูกเข้ารหัสไม่มีชื่อไฟล์ใดๆ ต่อท้าย  จึงทำให้ผู้ใช้งานมองเห็นชื่อไฟล์ เป็นชื่อไฟล์ปกติ หลังจากนั้นแรนซัมแวร์ AXLocker จะส่งรหัสเหยื่อ รวมถึงรายละเอียดของระบบ ข้อมูลที่ถูกบันทึกไว้ในเบราว์เซอร์ และโทเค็น Discord ไปยัง Discord channel ของผู้โจมตีโดยการใช้งานผ่าน webhook URL

ไดเร็กทอรีที่ถูกสแกนเพื่อทำการขโมยโทเค็น

  • Discord\Local Storage\leveldb
  • discordcanary\Local Storage\leveldb
  • discordptb\leveldb
  • Opera Software\Opera Stable\Local Storage\leveldb
  • Google\Chrome\User Data\\Default\Local Storage\leveldb
  • BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
  • Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

   

ท้ายที่สุด ผู้เสียหายจะได้รับแจ้งข้อความในรูปแบบ pop-up window ที่มีข้อความเรียกค่าไถ่ และแจ้งให้ทราบว่าข้อมูลของพวกเขาได้ถูกเข้ารหัสเรียบร้อยแล้ว ให้ทำการติดต่อชำระเงินค่าไถ่ ในการถอดรหัสหรือปลดล็อคไฟล์ข้อมูล โดยผู้เสียหายเองมีเวลา 48 ชั่วโมงในการติดต่อ แต่ไม่ได้ระบุถึงจำนวนเงินค่าไถ่ในหมายเหตุ

ดังนั้นหากพบว่า AXLocker เข้ารหัสคอมพิวเตอร์ของคุณ ให้รีบเปลี่ยนรหัสผ่าน Discord โดยทันที เพราะจะทำให้โทเค็นที่ถูกขโมยไปไม่สามารถใช้งานได้

อ้างอิง: bleepingcomputer.com

#ข่าวไซเบอร์ #ภัยคุกคาม #ransomware #hacker #AXLocker
#cyber #CyberIntelligence #Discord #cybersecurity #เรียกค่าไถ่