ผู้เชี่ยวชาญจาก Cyble พบแรนซัมแวร์ตัวใหม่ 'AXLocker' ซึ่งนอกจากจะเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว ยังขโมยข้อมูล Discord accounts ของเหยื่อออกไปเพื่อเรียกค่าไถ่ด้วย
โดยปกติแล้วเมื่อผู้ใช้งาน Login เข้าสู่ระบบ Discord ด้วยข้อมูลประจำตัว แพลตฟอร์มจะทำการส่งโทเค็นเพื่อตรวจสอบสิทธิ์ผู้ใช้งาน ซึ่งจะถูกเก็บไว้บนเครื่องคอมพิวเตอร์ โดยโทเค็นนี้สามารถใช้ยืนยันตัวตนเพื่อเข้าสู่ระบบในฐานะของผู้ใช้งาน ซึ่งทำให้หากผู้โจมตีได้โทเค็นดังกล่าวไป อาจทำให้สามารถควบคุมบัญชี และยังใช้ส่งคำขอ API ในการดึงข้อมูลเกี่ยวกับบัญชีที่เกี่ยวข้องได้
เนื่องจาก Discord เป็นทางเลือกสำหรับแพลตฟอร์ม NFT และกลุ่มสกุลเงินดิจิตอล ทำให้การขโมยโทเค็นของผู้ใช้งานเป็นเป้าหมายหลักของผู้โจมตี เพื่อใช้ในการขโมยเงิน และหลอกลวงการทำธุรกรรมต่าง ๆ ในส่วนของการเข้ารหัส แรนซั่มแวร์จะกำหนดเป้าหมายไฟล์บางนามสกุล และ exclude บาง folder
เมื่อทำการเข้ารหัสไฟล์ AXLocker จะไม่เพิ่มนามสกุลใด ๆ ต่อท้ายไฟล์ ซึ่งทำให้ผู้ใช้งานมองเห็นชื่อไฟล์เป็นชื่อไฟล์ปกติ จากนั้น AXLocker จะส่งรหัสของเหยื่อ รวมถึงรายละเอียดข้อมูลที่เก็บไว้บนเบราว์เซอร์ และโทเค็น Discord ไปยัง Discord ของผู้โจมตีโดยการใช้ webhook URL ซึ่งการขโมยโทเค็นจะใช้การสแกนไดเร็กทอรีดังต่อไปนี้เพื่อค้นหาโทเค็น
- Discord\Local Storage\leveldb
- discordcanary\Local Storage\leveldb
- discordptb\leveldb
- Opera Software\Opera Stable\Local Storage\leveldb
- Google\Chrome\User Data\\Default\Local Storage\leveldb
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
จากนั้นเหยื่อที่ถูกโจมตีจะได้รับป๊อปอัปที่มีข้อความเรียกค่าไถ่แจ้งว่าข้อมูลถูกเข้ารหัส และวิธีติดต่อผู้โจมตี โดยในข้อความไม่มีการระบุจำนวนเงินค่าไถ่ไว้ เหยื่อมีเวลาเพียง 48 ชั่วโมงในการติดต่อกลับผู้โจมตี เพื่อถอดรหัส หรือปลดล็อคไฟล์ข้อมูล ดังนั้นหากพบว่า AXLocker เข้ารหัสคอมพิวเตอร์ของคุณ ให้รีบเปลี่ยนรหัสผ่าน Discord โดยทันที เพราะจะทำให้โทเค็นที่ถูกขโมยไปไม่สามารถใช้งานได้
ที่มา: bleepingcompute
You must be logged in to post a comment.