Une nouvelle famille de rançongiciels a été détectée ciblant la communauté des cryptomonnaies.
Les chercheurs en cybersécurité de Cyble ont récemment découvert une souche qu’ils ont surnommée « AXLocker » qui, outre le cryptage habituel de tous les fichiers trouvés sur le terminal, finit également par voler les jetons d’authentification Discord aux victimes.
Discord est une plate-forme de communication qui existe depuis un certain temps, mais qui a récemment trouvé une nouvelle vie dans la communauté des crypto-monnaies. Les projets NFT, les jetons cryptographiques et les start-ups similaires ont choisi Discord comme plate-forme de communication de choix.
Délai de 48h
Lorsqu’un utilisateur se connecte à Discord, la plate-forme installe un petit jeton sur l’ordinateur, de sorte que l’utilisateur n’a pas besoin de s’authentifier à chaque fois qu’il revient. Le vol de ce jeton permettrait aux pirates d’accéder au compte de la victime, même sans connaître leurs mots de passe ou autres informations de connexion.
En dehors de cela, AXLocker n’a rien d’extraordinaire. Une fois déclenché, le malware (s’ouvre dans un nouvel onglet) cible des extensions de fichiers spécifiques et évite certains dossiers. Il crypte les fichiers à l’aide de l’algorithme AES, mais il ne modifie pas leurs extensions – ils conservent leurs noms de fichiers normaux. Il exige un paiement en crypto-monnaie et donne aux utilisateurs 48 heures pour s’y conformer.
Alors que la communauté NFT et crypto est habituée aux cyberattaques et que divers criminels s’attaquent à leurs biens numériques, le vol de jetons Discord dans le processus rend cette attaque de ransomware beaucoup plus puissante.
Après tout, si un propriétaire ou un développeur d’un tel projet se faisait prendre ses jetons Discord, les escrocs pourraient abuser de son identité pour lancer de fausses campagnes et voler les NFT et les crypto-monnaies des membres de la communauté.
Toujours selon BipOrdinateurles cibles d’AXLocker sont avant tout les consommateurs.
Il n’y avait aucun mot sur la méthode de distribution d’AXLocker. Habituellement, les acteurs de la menace se tournent vers les e-mails de phishing, les fausses pages de destination et l’ingénierie sociale (fausses identités LinkedIn, par exemple) pour inciter les gens à télécharger et à exécuter le logiciel malveillant.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)