I ricercatori di Cyble hanno scoperto una nuova campagna ransomware che prende di mira gli utenti privati. AXLocker permette ai cybercriminali di cifrare i file e quindi chiedere il pagamento di un riscatto, come avviene per tutti i ransomware. La novità è rappresentata dal furto dell’account Discord che potrebbe essere utilizzato per altre attività illecite. Il consiglio è installare sempre una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.
AXLocker: ransomware e stealer
I ricercatori di Cyble non hanno scoperto le modalità usate per distribuire AXLocker, né gli autori degli attacchi, ma hanno analizzato il codice del malware e fornito i dettagli sul funzionamento. Innanzitutto, il ransomware cambia gli attributi del file per nascondere le tracce. Successivamente avvia la procedura di cifratura, utilizzando l’algoritmo AES e scegliendo i file in base all’estensione (alcune directory vengono escluse). Stranamente l’estensione dei file non viene modificata.
La catena di infezione prevede quindi l’invio di alcuni dati al server remoto, tra cui nome del computer e indirizzo IP. A questo punto, AXLocker cerca i token Discord nelle directory omonime e in quelle dei principali browser. Infine viene mostrato un pop-up con le istruzioni da seguire per contattare i cybercriminali e pagare il riscatto (non specificato).
I token di autenticazione di Discord permettono di accedere agli account per eseguire varie attività illecite. Dopo aver preso il controllo è possibile ad esempio mettere in atto truffe con offerte fasulle di criptovalute o NFT. L’ignara vittima consegnerà l’indirizzo del wallet e perderà tutti i soldi.