Pendant qu’AXLocker crypte vos fichiers, il recherche des jetons d’authentification valides pour prendre en charge votre compte Discord.

Le nouveau rançongiciel AXLocker crypte non seulement les fichiers de ses victimes, mais recherche également activement des jetons d’authentification Discord valides. Une fois que les comptes associés ont été pris en charge, ils peuvent être utilisés à mauvais escient pour d’autres activités malveillantes. Le logiciel malveillant ne précise pas le montant de la rançon demandée, mais il précise un délai.

Ransomware collecte des jetons d’authentification sur le côté

Des chercheurs en sécurité ont identifié une nouvelle famille de rançongiciels baptisée « AXLocker » découvert. Cependant, en plus des fonctionnalités attendues pour ce type de malware, à savoir le cryptage des données des utilisateurs et l’exigence d’une rançon, le malware a une autre fonctionnalité à offrir. Parce qu’elle vole aussi des comptes Discord d’ailleurs.

Pour ce faire, AXLocker recherche dans plusieurs répertoires des jetons d’authentification valides. Ceux-ci exposent parfois des applications comme Discord pour connecter rapidement leurs utilisateurs sans demander constamment à nouveau le mot de passe.

Mais ces jetons jouent également un rôle important pour les requêtes API. Parce que le service garantit, par exemple, que seuls des utilisateurs sélectionnés peuvent accéder à certaines API et aux données qui les sous-tendent.

Ainsi, si un attaquant vole un jeton d’authentification, tant que le jeton est valide, il peut prendre le contrôle du compte associé et l’utiliser à des fins malveillantes.

Compte tenu de la popularité croissante de Discord dans les communautés de crypto, de jeu et de NFT, cela peut être assez lucratif. Par exemple, si un attaquant s’empare du compte d’un membre vérifié de la communauté, il a de fortes chances de dérober quelques pièces du portefeuille de l’un ou l’autre utilisateur maladroit.

Mais les données de carte de crédit des joueurs et bien plus encore peuvent également être une cible rentable pour les attaquants.

AXLocker envoie les données capturées à un canal Discord

Comme l’ont découvert les chercheurs en sécurité de Cyble, selon BleepingComputer, AXLocker cible des extensions de fichiers spécifiques et exclut certains dossiers du chiffrement, qui est basé sur l’algorithme AES. Les fichiers cryptés ne reçoivent pas de nouvelle extension de fichier. Ils continuent d’apparaître sous leurs noms habituels.

En plus de l’identifiant unique de la victime, le ransomware envoie ensuite les détails du système, les données de navigation et le jeton Discord au canal Discord de l’attaquant. Pour trouver les jetons, AXLocker recherche les répertoires suivants :

• DiscordLocal Storageleveldb
• discordcanaryLocalStorageleveldb
• discordptbleveldb
• Opera SoftwareOpera StableLocal Storageleveldb
• GoogleChromeUserDataDefaultLocalStorageleveldb
• BraveSoftwareBrave BrowserUser DataDefaultLocal Storageleveldb
• YandexYandexBrowserUser DataDefaultLocal Storageleveldb

Atténuation du changement de mot de passe dans Discord

Enfin, une fenêtre apparaît avec la demande de rançon. Cela demande à la victime de contacter l’attaquant avec son identifiant unique afin de recevoir un programme de décryptage. Le rapport ne dit pas à quel point cela coûte cher.

Quiconque a été victime d’une attaque avec l’AXLocker et utilise Discord doit changer son mot de passe pour le service dès que possible. Bien que cela ne restaure pas les fichiers cryptés, cela invalide au moins le jeton volé, empêchant l’attaquant de causer d’autres dommages sur Discord.