Yeni 'Axlocker' fidye yazılımı ailesi sadece kurbanların dosyalarını şifrelemek ve fidye ödemesi talep etmekle kalmaz, aynı zamanda enfekte kullanıcıların uyumsuzluk hesaplarını da çalıyor.
Bir kullanıcı kimlik bilgileriyle anlaşmazlığa oturum açtığında, platform bilgisayarda kaydedilen bir kullanıcı kimlik doğrulama jetonunu geri gönderir. Bu jeton daha sonra kullanıcı olarak oturum açmak veya ilgili hesap hakkında bilgi alan API istekleri vermek için kullanılabilir.
Tehdit aktörleri genellikle bu jetonları çalmaya çalışırlar, çünkü hesapları devralmalarını veya daha da kötüsü, daha da kötü niyetli saldırılar için kötüye kullanmalarını sağlarlar.
Discord, NFT platformları ve kripto para birimi grupları için tercih edilen topluluk haline geldiğinden, bir moderatör jetonu veya diğer doğrulanmış topluluk üyesi çalmak, tehdit aktörlerinin dolandırıcılık ve fon çalmasına izin verebilir.
Cyble'daki araştırmacılar yakın zamanda yeni Axlocker fidye yazılımlarının bir örneğini analiz ettiler ve sadece dosyaları şifrelediğini değil, aynı zamanda bir kurbanın uyumsuzluk jetonlarını da çaldığını keşfettiler.
Fidye yazılımı olarak, kötü amaçlı yazılım veya onu kullanan tehdit aktörleri hakkında özellikle sofistike bir şey yoktur.
Yürütüldüğünde, fidye yazılımı belirli dosya uzantılarını hedefleyecek ve aşağıdaki resimde gösterildiği gibi belirli klasörleri hariç tutacaktır.
Bir dosyayı şifrelerken Axlocker AES algoritmasını kullanır, ancak şifrelenmiş dosyalara bir dosya adı uzantısı eklemez, böylece normal adlarıyla görünür.
Ardından, Axlocker bir kurban kimliği, sistem detayları, tarayıcılarda depolanan veriler ve anlaşmazlık jetonlarını bir Webhook URL'si kullanarak tehdit aktörlerinin anlaşmazlık kanalına gönderir.
Discord belirtisini çalmak için Axlocker, düzenli ifadeler kullanarak aşağıdaki dizinleri tarayacak ve jetonları çıkaracaktır:
Sonunda, kurbanlara fidye notunu içeren bir açılır pencere servis edilir ve verilerinin şifrelendiğini ve bir şifreleme satın almak için tehdit oyuncusu ile nasıl temasa geçtiklerini bildirir.
Mağdurlara, kurban kimliğiyle saldırganlarla iletişim kurmaları için 48 saat verilir, ancak fidye miktarı notta belirtilmemiştir.
Bu fidye yazılımı, işletme yerine tüketicileri açıkça hedeflerken, yine de büyük topluluklar için önemli bir tehdit oluşturabilir.
Bu nedenle, Axlocker'ın bilgisayarınızı şifrelediğini görürseniz, fidye yazılımı tarafından çalınan jetonu geçersiz kılacağı için derhal anlaşmazlık şifrenizi değiştirmelisiniz.
Bu, dosyalarınızı kurtarmaya yardımcı olmasa da, hesaplarınızdan, verilerinizin ve dahil olduğunuz toplulukların daha fazla uzlaşmasını önleyecektir.
Saldırıda 'BL00DY' Ransomware Gang tarafından kullanılan sızdırılmış Lockbit 3.0 Builder
Ransomware'de Hafta - 23 Eylül 2022 - Lockbit Sızıntısı
Hackerlar, durdurulan web sunucusundaki hatalar aracılığıyla enerji orgs'u ihlal ediyor
Donut gasp grubu da fidye yazılımlı kurbanları hedefliyor
Araştırmacılar, 2 yıl boyunca Zeppelin Fidye Yazılımını şifresini çözmeye yardımcı oldu
Kaynak: Bleeping Computer