Wütender Gamer
Wütender Gamer
Bildquelle: Syda_Productions, Lizenz

Discord: Ransomware AXLocker übernimmt nebenbei Dein Konto

Während der AXLocker Deine Dateien verschlüsselt, sucht er nach gültigen Authentifizierungstoken, um Dein Discord-Konto zu übernehmen.

Die neue Ransomware AXLocker verschlüsselt nicht nur Dateien ihrer Opfer, sondern sucht auch aktiv nach gültigen Discord-Authentifizierungstoken. Nach Übernahme der zugehörigen Konten lassen sich diese für weitere böswillige Aktivitäten missbrauchen. Eine Höhe des geforderten Lösegelds nennt die Schadsoftware nicht – sehr wohl aber eine Deadline.

Ransomware sammelt nebenbei Authentifizierungstoken

Sicherheitsforscher haben eine neue Ransomware-Familie mit der Bezeichnung „AXLocker“ entdeckt. Doch neben der für diesen Typ von Schadsoftware zu erwartenden Funktion, Nutzerdaten zu verschlüsseln und ein Lösegeld zu fordern, kann die Malware noch mit einem weiteren Feature aufwarten. Denn sie stiehlt ganz nebenbei auch Discord-Konten.

Dafür durchsucht der AXLocker mehrere Verzeichnisse nach gültigen Authentifizierungstoken. Diese stellen Anwendungen wie Discord mitunter aus, um ihre Benutzer schnell anzumelden, ohne ständig das Passwort erneut anzufordern.

Aber auch für API-Abfragen spielen diese Token eine wichtige Rolle. Denn darüber stellt der Dienst beispielsweise sicher, dass nur ausgewählte Anwender auf bestimmte APIs und die dahinterliegenden Daten zugreifen können.

Discord-Logo
Discord-Logo (Quelle: Wikipedia)

Stiehlt ein Angreifer also ein Authentifizierungstoken, so kann er, solange das Token gültig ist, das zugehörige Konto übernehmen und es für böswillige Zwecke missbrauchen.

Im Hinblick auf die steigende Beliebtheit von Discord in Crypto-, Gaming- und NFT-Communitys kann das ziemlich lukrativ sein. Übernimmt ein Angreifer beispielsweise das Konto eines verifizierten Community-Mitglieds, so hat er gute Karten, dem ein oder anderen unbeholfenen Benutzer ein paar Coins aus der Wallet zu stehlen.

Aber auch Kreditkartendaten von Gamern und vieles mehr, können ein profitables Ziel der Angreifer sein.

AXLocker sendet erbeutete Daten an einen Discord-Kanal

Wie die Sicherheitsforscher von Cyble laut BleepingComputer feststellten, zielt der AXLocker auf bestimmte Dateierweiterungen ab und schließt einige Ordner von der Verschlüsselung, die auf dem AES-Algorithmus basiert, aus. Verschlüsselte Dateien erhalten keine neue Dateierweiterung. Sie erscheinen weiterhin unter ihrem normalen Namen.

Zusammen mit einer eindeutigen ID des Opfers sendet die Ransomware anschließend Systemdetails, Browserdaten und Discord-Token an den Discord-Kanal des Angreifers. Um die Token zu finden, durchsucht der AXLocker folgende Verzeichnisse:

  • Discord\Local Storage\leveldb
  • discordcanary\Local Storage\leveldb
  • discordptb\leveldb
  • Opera Software\Opera Stable\Local Storage\leveldb
  • Google\Chrome\User Data\Default\Local Storage\leveldb
  • BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
  • Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

Schadensbegrenzung durch Passwortänderung in Discord

Abschließend erscheint ein Fenster mit der Lösegeldforderung. Diese fordert das Opfer auf, sich mitsamt seiner eindeutigen ID mit dem Angreifer in Verbindung zu setzen, um ein Entschlüsselungsprogramm zu erhalten. Wie teuer dieses ist, ist der Meldung nicht zu entnehmen.

AXLocker
Die Erpressersoftware AXLocker bei der „Arbeit“. Screenshot von blog.cyble.com, thx!

Wer Opfer eines Angriffs mit dem AXLocker geworden ist und Discord verwendet, sollte möglichst zeitnah sein Passwort für den Dienst ändern. Das stellt zwar nicht die verschlüsselten Dateien wieder her, doch zumindest verliert das gestohlene Token seine Gültigkeit, sodass der Angreifer auf Discord keinen weiteren Schaden anrichten kann.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.