È stata rilevata una nuova famiglia di ransomware che prende di mira la comunità delle criptovalute.
I ricercatori di sicurezza informatica di Cyble hanno recentemente scoperto un ceppo che hanno soprannominato "AXLocker" che, oltre alla normale crittografia di tutti i file sul dispositivo, finisce anche per rubare i token di autenticazione Discord delle vittime.
Discord è una piattaforma di comunicazione che esiste da un po' di tempo, ma recentemente ha trovato nuova vita nella comunità delle criptovalute. Progetti NFT, token crittografici e startup simili hanno scelto Discord come piattaforma di comunicazione preferita.
48 ore di ritardo
Quando un utente accede a Discord, la piattaforma installa un piccolo token sul computer, quindi l'utente non deve autenticarsi ogni volta che torna. Il furto di questo token consentirebbe agli hacker di accedere all'account della vittima, anche senza conoscere le password o altre informazioni di accesso.
A parte questo, AXLocker non è niente di straordinario. Una volta attivato, il malware - si apre in una nuova scheda - prende di mira specifiche estensioni di file ed evita determinate cartelle. Crittografa i file utilizzando l'algoritmo AES, ma non cambia le loro estensioni, mantengono i loro normali nomi di file. Richiede il pagamento in criptovaluta e offre agli utenti 48 ore per conformarsi.
Mentre la comunità NFT e crittografica è abituata agli attacchi informatici e a vari criminali che sfruttano le loro risorse digitali, il furto di token Discord nel processo rende questo attacco ransomware molto più potente.
Dopotutto, se a un tale proprietario o sviluppatore del progetto venissero portati via i propri token Discord, i truffatori potrebbero abusare della propria identità per lanciare campagne false e rubare NFT e criptovalute dai membri della comunità.
Tuttavia, secondo BleepingComputer, gli obiettivi di AXLocker sono principalmente i consumatori.
Non c'erano informazioni sul metodo di distribuzione di AXLocker. In genere, gli attori delle minacce utilizzano e-mail di phishing, pagine di destinazione false e ingegneria sociale (false identità di LinkedIn, ad esempio) per indurre le persone a scaricare ed eseguire malware.
Via: BleepingComputer (si apre in una nuova scheda)