Pesquisadores da Cyble analisaram o ransomware AXLocker e descobriram que diferente do que se acreditava, o foco dele não é encriptar os dados da vítima e cobrar resgate, mas sim roubar as credenciais do Discord da vítima.
O Discord tem se tornado um meio importante para a comunidade de criptomoedas e NFT se comunicar, sendo assim, o sequestro de uma conta um administrador, ou usuário importante pode induzir pessoas a caírem em golpes.
Como o AXLocker funciona
Após encriptar os dados da vítima, o ransomware coleta informações sensíveis, como o nome do computador, endereço de IP, UUID do sistema e as credenciais do Discord, como demonstrado na imagem abaixo:
O vírus é capaz de roubar os dados do Discord até mesmo quando acessado por navegadores, pois busca os tokens nos seguintes diretórios:
- Discord\Local Storage\leveldb;
- discordcanary\Local Storage\leveldb;
- discordptb\leveldb;
- Opera Software\Opera Stable\Local Storage\leveldb;
- Google\Chrome\User Data\Default\Local Storage\leveldb;
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb;
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb.
Ao encontrar uma pasta compatível, o vírus utiliza expressões regulares para buscar a credencial do Discord.
O sistema de criptografia utilizado é o AES, mas ele não altera o nome dos arquivos infectados, ou sua extensão.
Sendo assim, os especialistas recomendam que se for atacado, não se renda às chantagens, pois não há nenhuma garantia de devolução do acesso aos dados e corra para recuperar sua conta no Discord.