Discord è oggi una delle piattaforme più utilizzate per la messaggistica istantanea, soprattutto nell’ambito del gaming. La sua popolarità la rende però anche un target interessante per gli utenti malintenzionati interessati ai dati e ai soldi degli utilizzatori, non mancano infatti i ransomware appositamente pensati per colpire questo servizio.
Tra le ultime minacce rilevate vi è anche AXLocker, un ransomware individuato dai ricercatori di sicurezza di Cyble. Il suo funzionamento ricalca quello della maggior parte degli attacchi basati su questa tecnica che prevedono di cifrare le informazioni contenute in un terminale, in una rete o in un Cloud, per poi richiedere un "riscatto" per la loro "liberazione".
L’elemento di originalità di tale campagna risiede in questo caso nel fatto che AXLocker è anche in grado di sottrarre un account Discord. Questo significa che dopo un’infezione gli attaccanti potrebbero utilizzare quelli sottratti alle vittime per effettuare altre attività malevole, un rischio reso più probabile da come viene effettuato l’attacco.
Il ransomware infatti riesce ad alterare le caratteristiche dei file per nascondersi più facilmente all’interno di un sistema, fatto questo è in grado di selezionare i file da criptare escludendo le directory non necessarie e ne esegue la cifratura. Quest’ultima viene effettuata sfruttando un algoritmo AES (Advanced Encryption Standard) rendendo molto complesso il recupero dei dati coinvolti.
AXLocker è stato scritto in modo da scovare i token di autenticazione per l’accesso a Discord, invia inoltre alcune dati personali delle vittime ad un server esterno. L’ammontare del riscatto non viene specificato nel pop-up che conferma l’infezione avvenuta e gli utenti colpiti sono invitati a contattare gli attaccanti per conosce le modalità di pagamento.
Per restare sempre aggiornato seguici su Google News!
