CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

Ransomware-1.jpg

Novo ransomware AXLocker rouba tokens de usuários do Discord

Da Redação
22/11/2022

Pesquisadores de segurança alertam sobre uma nova variante de ransomware que não apenas criptografa os arquivos da vítima, mas também tenta roubar dados, permitindo um controle de conta do Discord,  aplicativo de mensagens gratuito, projetado inicialmente para a comunidade de games.

Destinado aos consumidores, o ransomware batizado de AXLocker funciona de maneira bastante típica, visando certas extensões de arquivo com criptografia AES, antes de extorquir a vítima. No entanto, antes de criptografar os dados, ele rouba os tokens do Discord usados ​​pela plataforma para autenticar os usuários quando estes inserem suas credenciais para fazer login em uma conta.

Isso permite que os operadores do ransomware sequestrem essas contas para fraude subsequente e propagação de malware. A plataforma de mensagens é particularmente popular entre as comunidades games e criptomoedas, mas também é um foco de atividades maliciosas.

Depois de enviar os tokens Discord roubados para um servidor externo e criptografar os arquivos da vítima, o AXLocker mostrará uma janela pop-up contendo a nota de resgate, com um cronômetro marcando até que a chave de descriptografia seja excluída.

A equipe de pesquisa da Cyble também revelou duas novas variantes adicionais de ransomware. Uma delas é o Octocrypt, um ransomware como serviço (RaaS) que visa todas as versões do Windows. Descoberto por volta de outubro, está disponível em fóruns de crimes cibernéticos por apenas US$ 400, de acordo com a Cyble. A variante parece ter sido projetada para facilitar o uso.

“A interface do construtor de painel da web Octocrypt permite que os operadores de ameaças gerem executáveis ​​binários de ransomware inserindo opções como URL da API, endereço de criptografia, quantidade de criptografia e endereço de e-mail de contato”, explicou a fornecedora. “Operadores de ameaças podem baixar o arquivo de carga útil gerado clicando no URL fornecido no painel da web em detalhes da carga útil.”

Veja isso
Pacotes npm maliciosos visam usuários do aplicativo Discord
Telegram e Discord são usados para espalhar e executar malware

A nova variante final do ransomware descoberta pelo Cyble é apelidada de Alice ou Alice in the Land of Malware (Alice na terra do malware). Seus desenvolvedores estão vendendo um criador de ransomware por apenas US$ 600 por mês, prometendo suporte responsivo, criptografia rápida, elementos personalizáveis ​​e compatibilidade com “PCs asiáticos/árabe”.

A Cyble diz que as organizações devem melhorar a varredura da dark web em busca dos primeiros sinais de alerta de novas variantes, bem como credenciais comprometidas e explorações de vulnerabilidades que podem alertá-los sobre possíveis ataques. “Operadores de ameaças estão cada vez mais tentando manter um perfil discreto para evitar chamar a atenção das agências de aplicação da lei”, concluiu.

Compartilhar: