Une nouvelle famille de rançongiciels ciblant la communauté des cryptomonnaies a été détectée.
Les chercheurs en cybersécurité de Cyble ont récemment découvert une souche qu'ils ont surnommée "AXLocker" qui, en plus du cryptage habituel de tous les fichiers sur l'appareil, finit également par voler les jetons d'authentification Discord des victimes.
Discord est une plate-forme de communication qui existe depuis un certain temps, mais qui a récemment trouvé une nouvelle vie dans la communauté des crypto-monnaies. Les projets NFT, les jetons cryptographiques et les startups similaires ont choisi Discord comme plate-forme de communication préférée.
48 heures de retard
Lorsqu'un utilisateur se connecte à Discord, la plate-forme installe un petit jeton sur l'ordinateur, de sorte que l'utilisateur n'a pas besoin de s'authentifier à chaque fois qu'il revient. Le vol de ce jeton permettrait aux pirates d'accéder au compte de la victime, même sans connaître leurs mots de passe ou autres informations de connexion.
En dehors de cela, AXLocker n'a rien d'extraordinaire. Une fois activé, le logiciel malveillant - s'ouvre dans un nouvel onglet - cible des extensions de fichiers spécifiques et évite certains dossiers. Il crypte les fichiers à l'aide de l'algorithme AES, mais ne modifie pas leurs extensions, ils conservent leurs noms de fichiers normaux. Il nécessite un paiement en crypto-monnaie et donne aux utilisateurs 48 heures pour s'y conformer.
Alors que la communauté NFT et crypto est habituée aux cyberattaques et que divers criminels profitent de leurs actifs numériques, le vol de jetons Discord dans le processus rend cette attaque de ransomware encore plus puissante.
Après tout, si un tel propriétaire de projet ou développeur devait se faire retirer ses jetons Discord, les escrocs pourraient abuser de leur identité pour lancer de fausses campagnes et voler des NFT et des crypto-monnaies aux membres de la communauté.
Cependant, selon BleepingComputer, les cibles d'AXLocker sont principalement les consommateurs.
Il n'y avait aucune information sur la méthode de distribution d'AXLocker. En règle générale, les acteurs de la menace utilisent des e-mails de phishing, de fausses pages de destination et l'ingénierie sociale (fausses identités LinkedIn, par exemple) pour inciter les gens à télécharger et à exécuter des logiciels malveillants.
Via : BleepingComputer (Ouvre dans un nouvel onglet)