Il Gruppo AXLocker di Ransomware Ruba gli Account Discord degli Utenti Infetti

I ricercatori di Cyble, mentre indagavano su un campione di AXLocker, hanno scoperto un nuovo gruppo di campagne ransomware in AXLocker che non solo richiede un riscatto ma ruba anche gli account Discord delle vittime!

Discord è ora lentamente diventato il punto di riferimento per le comunità NFT e per i gruppi di criptovalute, quindi rubare i token del moderatore del gruppo o di altre persone prominenti nel gruppo potrebbe potenzialmente consentire agli attaccanti di truffare o derubare il denaro di altre persone.

Quando gli utenti accedono al loro account Discord, la piattaforma restituisce il token di autenticazione dell’utente salvato sul computer, e questo token può essere utilizzato per accedere a Discord o per effettuare una richiesta API per recuperare informazioni sull’account particolare.

Gli attaccanti cercano sempre di rubare questi token per ottenere il controllo dell’account o addirittura abusarli per ulteriori attività malevole. Detto ciò, non c’è nulla di moderno in questo ransomware o negli attaccanti che lo utilizzano.

Quando eseguono l’attacco, il ransomware prende di mira determinate estensioni di file ed esclude cartelle particolari, e quando crittografa un file, l’AXLocker utilizza un algoritmo AES, ma non aggiunge nulla all’estensione del nome del file, quindi i file mantengono i loro nomi originali.

Inoltre, l’AXLocker invia gli ID delle vittime, qualsiasi dato sia memorizzato nei browser web della vittima, e infine, i token Discord al canale Discord dell’attaccante utilizzando un link Webhook URL.

Leggi anche: Kit di Email di Phishing che Prende di Mira i Nordamericani Durante la Stagione delle Feste!

Ora, per rubare i token Discord, gli AXLocker scansionano queste directory ed estraggono i token utilizzando le seguenti espressioni.

• Discord\LocalStorage\leveldb

• discordcanary\LocalStorage\leveldb

• discordptb\leveldb

• Opera Software\Opera Storage\Local Storage\leveldb

• Chrome\Chrome\User Data\Default\Local Storage\leveldb

• Brave Software\Brave Browser\User DataDefault\Local Storage\Leveldb

• Yendex\Yrndex Browser\User Data\Default/Local Storage\leveldb

Alla fine, l’attaccante minaccioso mostra alle vittime un pop-up che contiene la nota del ransomware, che le informa sui loro dati che sono stati crittografati e spiega come contattare e acquistare il decrittatore; poi l’attaccante minaccioso dà 48 ore alle vittime per contattarlo. Tuttavia, l’importo del riscatto non è menzionato nella nota di riscatto.

Sebbene il ransomware AXLocker prenda di mira gli individui, non le aziende, rappresenta comunque una minaccia per le comunità più grandi.

Leggi anche: Come si è Evoluto il Ransomware e Come Puoi Rimanere al Sicuro?