Se ha detectado una nueva familia de ransomware dirigida a la comunidad de criptomonedas.
Los investigadores de seguridad cibernética de Cyble descubrieron recientemente una cepa que llamaron «AXLocker» que, además del cifrado habitual de todos los archivos que se encuentran en el punto final, también termina robando tokens de autenticación de Discord de las víctimas.
Discord es una plataforma de comunicaciones que existe desde hace bastante tiempo, pero recientemente encontró una nueva vida en la comunidad de criptomonedas. Proyectos NFT, tokens criptográficos y empresas emergentes similares han elegido a Discord como su plataforma de comunicación preferida.
plazo de 48 horas
Cuando un usuario inicia sesión en Discord, la plataforma instala un pequeño token en la computadora, de modo que el usuario no necesita autenticarse cada vez que regresa. Robar este token permitiría a los actores de amenazas acceder a la cuenta de la víctima, incluso sin conocer sus contraseñas u otros detalles de inicio de sesión.
Aparte de eso, AXLocker no es nada fuera de lo común. Una vez activado, el malware (se abre en una pestaña nueva) apunta a extensiones de archivo específicas y evita algunas carpetas. Cifra los archivos usando el algoritmo AES, pero no cambia sus extensiones, permanecen con sus nombres de archivo normales. Exige el pago en criptomoneda y da a los usuarios 48 horas para cumplir.
Si bien la comunidad de NFT y criptografía está acostumbrada a los ataques cibernéticos y a varios delincuentes que persiguen sus pertenencias digitales, robar tokens de Discord en el proceso hace que este ataque de ransomware sea mucho más potente.
Después de todo, si a un propietario o desarrollador de dicho proyecto le quitan sus tokens de Discord, los delincuentes podrían abusar de su identidad para lanzar campañas falsas y robar los NFT y las criptomonedas de los miembros de la comunidad.
Aún así, según BleepingEquipolos objetivos de AXLocker son, ante todo, los consumidores.
No hubo noticias sobre el método de distribución de AXLocker. Por lo general, los actores de amenazas buscarían correos electrónicos de phishing, páginas de destino falsas e ingeniería social (identidades falsas de LinkedIn, por ejemplo) para engañar a las personas para que descarguen y ejecuten el malware.
Vía: BleepingComputer (se abre en una pestaña nueva)