Eine neue Familie von Ransomware, die auf die Kryptowährungs-Community abzielt, wurde entdeckt.
Cybersicherheitsforscher von Cyble haben kürzlich eine Sorte namens „AXLocker“ entdeckt, die neben der üblichen Verschlüsselung aller Dateien auf dem Gerät auch die Discord-Authentifizierungstoken der Opfer stiehlt.
Discord ist eine Kommunikationsplattform, die es schon eine Weile gibt, aber vor kurzem neues Leben in der Kryptowährungs-Community gefunden hat. NFT-Projekte, Krypto-Token und ähnliche Startups haben Discord als ihre bevorzugte Kommunikationsplattform gewählt.
48 Stunden zu spät
Wenn sich ein Benutzer bei Discord anmeldet, installiert die Plattform ein kleines Token auf dem Computer, sodass sich der Benutzer nicht bei jeder Rückkehr authentifizieren muss. Das Stehlen dieses Tokens würde es Hackern ermöglichen, auf das Konto des Opfers zuzugreifen, auch ohne dessen Passwörter oder andere Anmeldeinformationen zu kennen.
Davon abgesehen ist AXLocker nichts Außergewöhnliches. Einmal aktiviert, zielt die Malware - wird in einem neuen Tab geöffnet - auf bestimmte Dateierweiterungen ab und vermeidet bestimmte Ordner. Es verschlüsselt die Dateien mit dem AES-Algorithmus, ändert aber nicht ihre Erweiterungen, sie behalten ihre normalen Dateinamen. Es erfordert die Zahlung in Kryptowährung und gibt den Benutzern 48 Stunden Zeit, um sich daran zu halten.
Während die NFT- und Krypto-Community an Cyberangriffe gewöhnt ist und verschiedene Kriminelle ihre digitalen Vermögenswerte ausnutzen, macht das Stehlen von Discord-Tokens diesen Ransomware-Angriff noch viel mächtiger.
Wenn einem solchen Projekteigentümer oder Entwickler die Discord-Token weggenommen würden, könnten Betrüger schließlich ihre Identität missbrauchen, um gefälschte Kampagnen zu starten und NFTs und Kryptowährungen von Community-Mitgliedern zu stehlen.
Laut BleepingComputer sind die Ziele von AXLocker jedoch hauptsächlich Verbraucher.
Es gab keine Informationen über die Verteilungsmethode von AXLocker. In der Regel verwenden Bedrohungsakteure Phishing-E-Mails, gefälschte Zielseiten und Social Engineering (z. B. falsche LinkedIn-Identitäten), um Menschen dazu zu bringen, Malware herunterzuladen und auszuführen.
Über: BleepingComputer (Öffnet in einem neuen Tab)