Uma nova família de ransomware chamada AXLocker, além de criptografar os arquivos das vítimas e exigir o pagamento do resgate, também está roubando as contas do Discord dos usuários infectados.
Roubo de contas do Discord
Quando um usuário faz login no Discord com suas credenciais, a plataforma envia de volta um token de autenticação do usuário salvo no computador. Esse token pode ser usado para fazer login como usuário ou para emitir solicitações de API que recuperam informações sobre a conta associada.
Os hackers geralmente tentam roubar esses tokens porque eles permitem que eles assumam contas ou, pior ainda, abusem deles para outros ataques maliciosos. Como o Discord se tornou a comunidade de escolha para plataformas NFT e grupos de criptomoedas, roubar um token de moderador ou outro membro verificado da comunidade pode permitir que agentes de ameaças conduzam golpes e roubem fundos.
AxLocker é uma ameaça dois em um
Pesquisadores da Cyble (Via: Bleeping Computer) analisaram recentemente uma amostra do novo ransomware AXLocker e descobriram que ele não apenas criptografa arquivos, mas também rouba os tokens Discord da vítima.
Como ransomware, não há nada particularmente sofisticado sobre o malware ou os agentes de ameaças que o utilizam. Quando executado, o ransomware visa determinadas extensões de arquivo e exclui pastas específicas, conforme mostrado na imagem abaixo.
Ao criptografar um arquivo, o AXLocker usa o algoritmo AES, mas não acrescenta uma extensão de nome de arquivo nos arquivos criptografados, então eles aparecem com seus nomes normais. Em seguida, o AXLocker envia um ID de vítima, detalhes do sistema, dados armazenados em navegadores e tokens Discord para o canal Discord dos atores da ameaça usando um URL de webhook.
Para roubar o token Discord, o AxLocker verificará os seguintes diretórios e extrairá tokens usando expressões regulares:
- Discord\Armazenamento local\leveldb;
- discordcanary\Armazenamento local\leveldb;
- discordptb\leveldb;
- Opera Software\Opera Stable\Armazenamento Local\leveldb;
- Google\Chrome\Dados do usuário\\Padrão\Armazenamento local\leveldb;
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb;
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb.
Eventualmente, as vítimas recebem uma janela pop-up contendo a nota de resgate, informando-as de que seus dados foram criptografados e como entrar em contato com o agente da ameaça para comprar um descriptografador.
As vítimas têm 48 horas para entrar em contato com os invasores com seu ID de vítima, mas o valor do resgate não é mencionado na nota.
Embora esse ransomware vise claramente os consumidores, e não a empresa, ele ainda pode representar uma ameaça significativa para grandes comunidades. Portanto, se você descobrir que o AxLocker criptografou seu computador, altere imediatamente sua senha do Discord, pois isso invalidará o token roubado pelo ransomware.