El grupo AXLocker de ransomware roba las cuentas de Discord de los usuarios infectados

Los investigadores de Cyble, mientras investigaban una muestra de AXLocker, han descubierto un nuevo grupo de campañas de ransomware en AXLocker que no solo exige un rescate, ¡sino que también roba las cuentas de Discord de las víctimas!

Discord se ha convertido lentamente en la comunidad preferida para grupos de NFT y criptomonedas, por lo que robar tokens del moderador del grupo u otras personas prominentes en el grupo podría permitir a los atacantes estafar o robar el dinero de otras personas.

Cuando los usuarios inician sesión en su cuenta de Discord, la plataforma devuelve el token de autenticación del usuario guardado en la computadora, y este token se puede usar para iniciar sesión en Discord o para hacer una solicitud API para recuperar información sobre la cuenta en particular.

Los atacantes siempre intentan robar estos tokens para apoderarse de la cuenta o incluso usarlos mal para actividades maliciosas adicionales. Dicho esto, no hay nada moderno sobre este ransomware o los atacantes que lo utilizan.

Al llevar a cabo el ataque, el ransomware apunta a ciertas extensiones de archivo y excluye carpetas particulares, y cuando está cifrando un archivo, el AXLocker utiliza un algoritmo AES, pero no añade nada a la extensión del nombre del archivo, por lo que los archivos mantienen sus nombres originales.

Además, luego el AXLocker envía las ID de las víctimas, cualquier dato almacenado en los navegadores web de la víctima y, por último, los tokens de Discord al canal de Discord del atacante utilizando un enlace URL de Webhook.

También lee: ¡Kit de correo electrónico de phishing dirigido a norteamericanos durante la temporada navideña!

Ahora, para robar los tokens de Discord, los AXLockers escanean estos directorios y extraen tokens utilizando las siguientes expresiones.

• Discord\LocalStorage\leveldb

• discordcanary\LocalStorage\leveldb

• discordptb\leveldb

• Opera Software\Opera Storage\Local Storage\leveldb

• Chrome\Chrome\User Data\Default\Local Storage\leveldb

• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb

• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

Al final, el atacante amenaza a las víctimas con un pop-up que contiene la nota del ransomware, que les notifica sobre sus datos que han sido cifrados y les dice cómo contactar y comprar el descifrador; luego, el atacante da 48 horas a las víctimas para contactar al atacante. Sin embargo, la cantidad del rescate no se menciona en la nota de rescate.

Aunque el ransomware AXLocker apunta a individuos, no a empresas, sigue presentando una amenaza para comunidades más grandes.

También lee: ¿Cómo ha evolucionado el ransomware y cómo puedes mantenerte a salvo?