Un nuevo ‘ransomware’ llamado ‘AXLocker’ consigue cifrar varios tipos de archivos de una víctima hasta dejarlos inutilizables y, además, robar las cuentas de Discord del usuario, actividades maliciosas que solo se pueden solucionar a cambio del pago de un rescate.
Este ‘ransomware’, que se dirige a los dispositivos con sistema Windows, se centra en robar cuentas de Discord de manera que los atacantes puedan hacerse cargo y utilizarlas para seguir realizando más ataques maliciosos.
Cuando un usuario inicia sesión en Discord, la plataforma devuelve un token de autenticación de usuario que está guardado en el dispositivo. El objetivo de los actores de la amenaza es el de robar estos tokens y con ello conseguir acceder a alguna cuenta de un moderador u otro miembro verificado de Discord, lo que podría permitir que se continuasen ejecutando estafas.
Según han detallado los investigadores de Cyble a través del análisis técnico de una muestra ‘AXLocker’, cuando se ejecuta, se oculta mediante la modificación de los atributos de archivo, como el nombre, y, a la vez, utiliza la función startencryption() para cifrar archivos específicos.
En concreto, su forma de encriptar archivos es a través del algoritmo AES, que va buscando entre los archivos y cifrándolos. Sin embargo, no agrega una extensión de nombre de archivo en los archivos encriptados, por lo que aparecen con sus nombres normales.
Una vez el ‘ransomware’ ha encriptado los archivos del ordenador, recopila y envía información confidencial, como el nombre del usuario, la dirección IP del dispositivo o los tokens de Discord, a los actores de la amenaza. A las víctimas se les muestra una ventana emergente que contiene la nota de rescate y las instrucciones de cómo se deben comunicar con el estafador para comprar un descifrador.
El tiempo disponible para que el usuario contacte con los atacantes es de 48 horas, aunque en el mensaje informativo no se menciona la cantidad estipulada para terminar con la estafa.
A pesar de que es complicado evitar la amenaza, se recomienda que si el usuario descubre que ‘AXLocker’ ha cifrado archivos, cambie de forma inmediata su contraseña de Discord, ya que esta acción invalidaría el token robado por el ‘ransomware’. De esta forma, aunque sí se hayan encriptado archivos, se puede evitar que se comprometa la cuenta, datos o comunidades en las que sea participe la cuenta de Discord de la víctima.
