사이버 범죄 분석 기업 사이블(Cyble) 연구팀이 디스코드 계정 탈취 피해로 이어진 신종 랜섬웨어 공격을 발견했다.
사이버 보안 전문 매체 블리핑컴퓨터는 사이블 연구팀의 발표를 인용, AXLocker 랜섬웨어가 피해자 파일에 암호화 설정을 하고는 데이터값 지불을 요구하는 동시에 디스코드 계정을 탈취했다고 설명했다.
사용자가 계정 로그인 정보와 같은 신원 정보를 이용해 디스코드에 접속하면, 플랫폼에서 사용자 컴퓨터에 저장된 사용자 인증 토큰을 전송한다. 토큰은 사용자의 로그인이나 관련 계정 정보를 검색하는 API 요청 실행에 사용할 수 있다.
이때 랜섬웨어 공격 세력이 피해자의 디스코드 토큰 탈취를 시도했다. 토큰을 손에 넣으면, 디스코드 계정을 탈취하거나 추가 악성 공격 개시가 수월해지기 때문이다.
랜섬웨어 공격 자체는 기존 공격과 비교했을 때 특별히 더 교묘해진 부분은 없다. 랜섬웨어는 특정 파일 확장 프로그램을 공격 대상으로 지정하고 특정 폴더를 배제한다. 그리고 파일 암호화 후 AXLocker는 AES 알고리즘을 사용한다. 하지만 암호화된 파일에는 파일명 확장을 첨부하지 않아, 일반 파일 명칭처럼 보인다.
이후 AXLocker는 webhook URL을 사용해 피해자 ID와 시스템 상세 정보, 브라우저에 저장된 데이터, 디스코드 토큰 등을 랜섬웨어 공격 세력의 디스코드 채널로 전송한다.
공격 개시 후 피해자 기기에는 랜섬 노트가 포함된 팝업 창이 등장한다. 팝업 창은 데이터 암호화 사실을 안내하면서 암호화 해제 키를 구매해야 한다고 경고한다. 피해자에게 주어진 암호화 해제 키 구매 비용 입금 시간은 단 48시간이다. 그러나 데이터 암호화 해제 비용을 48시간 이내로 입금할 것을 요구하기만 할 뿐, 데이터 해제를 위해 입금해야 할 금액은 구체적으로 명시되지 않았다.
지금까지 AXLocker는 개인보다는 기업을 주로 공격 대상으로 삼은 것으로 보인다. 그러나 사이블 연구팀은 랜섬웨어가 소수 기업을 겨냥했으나 실질적으로 광범위한 커뮤니티에도 공격의 여파가 이어질 것이라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
