Discord: Ransomware AXLocker übernimmt nebenbei Dein Konto

21.11.22 7:40 von Marc Stöckel Lesezeit: 3 Min.

Während der AXLocker Deine Dateien verschlüsselt, sucht er nach gültigen Authentifizierungstoken, um Dein Discord-Konto zu übernehmen.

Die neue Ransomware AXLocker verschlüsselt nicht nur Dateien ihrer Opfer, sondern sucht auch aktiv nach gültigen Discord-Authentifizierungstoken. Nach Übernahme der zugehörigen Konten lassen sich diese für weitere böswillige Aktivitäten missbrauchen. Eine Höhe des geforderten Lösegelds nennt die Schadsoftware nicht – sehr wohl aber eine Deadline.

Ransomware sammelt nebenbei Authentifizierungstoken

Sicherheitsforscher haben eine neue Ransomware-Familie mit der Bezeichnung „AXLocker“ entdeckt. Doch neben der für diesen Typ von Schadsoftware zu erwartenden Funktion, Nutzerdaten zu verschlüsseln und ein Lösegeld zu fordern, kann die Malware noch mit einem weiteren Feature aufwarten. Denn sie stiehlt ganz nebenbei auch Discord-Konten.

Dafür durchsucht der AXLocker mehrere Verzeichnisse nach gültigen Authentifizierungstoken. Diese stellen Anwendungen wie Discord mitunter aus, um ihre Benutzer schnell anzumelden, ohne ständig das Passwort erneut anzufordern.

Aber auch für API-Abfragen spielen diese Token eine wichtige Rolle. Denn darüber stellt der Dienst beispielsweise sicher, dass nur ausgewählte Anwender auf bestimmte APIs und die dahinterliegenden Daten zugreifen können.

Discord-Logo (Quelle: Wikipedia)

Stiehlt ein Angreifer also ein Authentifizierungstoken, so kann er, solange das Token gültig ist, das zugehörige Konto übernehmen und es für böswillige Zwecke missbrauchen.

Im Hinblick auf die steigende Beliebtheit von Discord in Crypto-, Gaming- und NFT-Communitys kann das ziemlich lukrativ sein. Übernimmt ein Angreifer beispielsweise das Konto eines verifizierten Community-Mitglieds, so hat er gute Karten, dem ein oder anderen unbeholfenen Benutzer ein paar Coins aus der Wallet zu stehlen.

Aber auch Kreditkartendaten von Gamern und vieles mehr, können ein profitables Ziel der Angreifer sein.

AXLocker sendet erbeutete Daten an einen Discord-Kanal

Wie die Sicherheitsforscher von Cyble laut BleepingComputer feststellten, zielt der AXLocker auf bestimmte Dateierweiterungen ab und schließt einige Ordner von der Verschlüsselung, die auf dem AES-Algorithmus basiert, aus. Verschlüsselte Dateien erhalten keine neue Dateierweiterung. Sie erscheinen weiterhin unter ihrem normalen Namen.

Zusammen mit einer eindeutigen ID des Opfers sendet die Ransomware anschließend Systemdetails, Browserdaten und Discord-Token an den Discord-Kanal des Angreifers. Um die Token zu finden, durchsucht der AXLocker folgende Verzeichnisse:

Discord\Local Storage\leveldb
discordcanary\Local Storage\leveldb
discordptb\leveldb
Opera Software\Opera Stable\Local Storage\leveldb
Google\Chrome\User Data\Default\Local Storage\leveldb
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

Schadensbegrenzung durch Passwortänderung in Discord

Abschließend erscheint ein Fenster mit der Lösegeldforderung. Diese fordert das Opfer auf, sich mitsamt seiner eindeutigen ID mit dem Angreifer in Verbindung zu setzen, um ein Entschlüsselungsprogramm zu erhalten. Wie teuer dieses ist, ist der Meldung nicht zu entnehmen.

Wer Opfer eines Angriffs mit dem AXLocker geworden ist und Discord verwendet, sollte möglichst zeitnah sein Passwort für den Dienst ändern. Das stellt zwar nicht die verschlüsselten Dateien wieder her, doch zumindest verliert das gestohlene Token seine Gültigkeit, sodass der Angreifer auf Discord keinen weiteren Schaden anrichten kann.

Drachenlord zieht wegen FKK-Kommune vermehrt Hass auf sich

Drachenlord will eine Kommune gründen, was ihm Vorwürfe von Pädophilie einbrachte. Google hat deswegen schon Teile seines Blogs gelöscht.

Dieser Hacker verbreitet gerade eine Malware, vor der Du Dich besser schützen solltest (Symbolbild)

Vor Malware schützen: 10 Regeln für ein sicheres Online-Verhalten

Da die Bedrohung durch Malware in letzter Zeit stark zugenommen hat, solltest Du Dich besser davor schützen. Wie das geht, erfährst Du hier.

Datenschutz ade: Discord darf bald Deine Gespräche aufzeichnen

Discord stellt seine Anwender ab Ende März vor ein Datenschutz-Problem. Wichtige Passagen aus der Privacy Policy sind spurlos verschwunden.

Bildmontage eines Ransomware-Angriffs (Symbolbild)

Rechtsanwälte Froese & Partner Opfer von MalasLocker-Ransomware

Die renommierte Kölner Anwaltskanzlei Froese & Partner ist von der Ransomware MalasLocker betroffen. Statt Lösegeld werden Spenden gefordert.

DoppelPaymer: LKA NRW enttarnt internationales Hacker-Netzwerk

DoppelPaymer: internationales Hacker-Netzwerk enttarnt

Das international agierende Hacker-Netzwerk DoppelPaymer soll mindestens 601 Unternehmen, Institutionen und Privatpersonen geschädigt haben.

Ein abstraktes Kreuz (symbolisch für den Weltkirchenrat)

Weltkirchenrat Opfer von Hackerangriff – zahlreiche Systeme betroffen

Über Weihnachten wurde der Weltkirchenrat zum Opfer einer Ransomware-Attacke. Auch die Webseite des Rates ist derzeit nicht erreichbar.

Ein Gamer ärgert sich über seine durch Discord gedrosselte Nvidia-Grafikkarte (Symbolbild)

Discord Update drosselt Deine Nvidia-Grafikkarte

Das neuste Discord-Update reduziert den Speichertakt einiger Nvidia-GPUs. Für ungeduldige Gamer gibt es jedoch zum Glück einen Workaround.

Malvertising ist eine unterschätze Gefahr (Symbolbild)

Google-Suche nach Notepad++ kann zu Infektion mit Malware führen

Das Beispiel von Notepad++ zeigt, dass die Suche nach einer bestimmten Software bei Google schnell zu gefährlicher Malware führen kann.

Mikhail Matveev auf Most Wanted-Liste des FBI

Most Wanted-Hacker verspottet das FBI

Ein auf der Most Wanted-Liste des FBI international gesuchter Cyberkrimineller verkauft T-Shirts auf Twitter mit seinem Fahndungsfoto.

Auf einer rot beleuchteten Tastatur liegt ein Handy, auf dem Discord angezeigt wird

Datenschutz: Discord testet E2EE für Sprach- und Videoanrufe

Discord testet E2EE für seine Sprach- und Videoanrufe. Kann das Experiment gelingen? Denn Datenschutz und Sicherheit haben höchste Priorität.

Eine schwarze Tastatur mit Darknet-Taste

So viel ist Dein Facebook-Konto auf Darknet-Seiten wert

Nachdem Hacker Zugangsdaten für zahlreiche Online-Dienste erbeutet haben, verkaufen sie diese oft auf Darknet-Seiten. Hier sind die Preise.

Ransomware-Bande legt SEC-Beschwerde ein – Opfer hat Hack verschwiegen

Die Ransomware-Bande ALPHV hat Beschwerde bei der US-Börsenaufsichtsbehörde eingelegt. Eines ihrer Opfer soll einen Hack verschwiegen haben.

Discord.io geschlossen, Daten von 760.000 Usern verkauft

Seit Montag ist das Verzeichnis Discord.io nicht mehr aktiv, nachdem eine Datenbank der Nutzer im Clearnet bei BreachForums aufgetaucht ist.

Ransomed.vc will gehackte Daten aller Sony-Systeme verkaufen

Die neue Erpresser-Gruppe Ransomed.vc kündigte an, die Daten von Sony zu verkaufen, weil die auf ihre Forderungen nicht eingegangen sind.

macOS-Nutzer kommt nicht mehr an seine von der LockBit-Ransomware verschlüsselten Daten (Symbolbild)

Ransomware-Gruppe LockBit erpresst bald auch macOS-Nutzer

Eine neue Testversion der LockBit-Ransomware zeigt, dass die gleichnamige Hackergruppe jetzt auch Apple-Rechner mit macOS ins Visier nimmt.

Vermummter Hacker mit Tablet in der Hand

Halloware – Von einer Ransomware, die aus der Hölle kam

Vorsicht vor gruseligen Gewinnspielen zu Halloween! Skepsis ist angebracht, um sich vor Ransomware wie z.B. Halloware zu schützen.

EvilExtractor: Windows-Malware stiehlt mehr als nur Passwörter

Auf Wunsch verschlüsselt die EvilExtractor-Malware auch Dein Windows-System und überträgt Browser-Daten und lokale Dateien an den Angreifer.

Keine Zombieparty für The Walking Dead. (Symbolbild)

The Walking Dead: Betrayal – Spiel kurz vor dem endgültigen Aus

Die Entscheidung, "The Walking Dead: Betrayal" einzustellen, trafen die Entwickler nur drei Monate nach der Veröffentlichung des Spiels.