Novo ransomware trava e rouba dados com foco nos usuários do Discord

Os usuários comuns, principalmente envolvidos no mercado de criptomoedas, parecem ser o alvo principal de uma campanha de contaminação pelo AXLocker. A família relativamente nova de ransomware não se contenta apenas em travar os arquivos e pedir um resgate, roubando credenciais e dados do utilizados após fazer isso, na tentativa de estender os ganhos e ampliar a possibilidade de fraude.

• O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la
• 6 dicas para evitar golpes envolvendo criptomoedas

Senhas e outras informações salvas em navegadores, assim como tokens de autenticação do Discord, parecem ser um foco maior do que, até mesmo, um possível resgate. Essa ideia decorre da encriptação simples aplicada pela praga sobre os arquivos do PC, somente em pastas específicas e sem nem mesmo modificar nomes e extensões de arquivos, apesar do uso de algoritmos AES, de criptografia avançada.

De acordo com os pesquisadores em segurança da Cyble, além do Discord, o AXLocker também busca por tokens de navegadores como Google Chrome, Opera e Brave, além da plataforma de buscas Yandex. Outros dados da vítima, bem como informações do sistema infectado, também são repassadas aos criminosos, que podem tentar invadir contas pessoais e carteiras de criptomoedas como forma de expandir o ataque.

A nota de resgate dá 48 horas para que as vítimas realizem um pagamento em criptomoedas, mas não indica valores e pede que os usuários entrem em contato para negociações. Como sempre, não há garantias de que o envio dos valores efetivamente resultará na recuperação dos dados, enquanto o furto de credenciais também deve trazer problemas adicionais para os atingidos pela praga.

Por isso mesmo, além de não realizar o pagamento, a recomendação dos especialistas é quanto à troca imediata de senhas do Discord e demais sistemas de criptomoedas assim que uma contaminação com o ransomware for detectada. Ativar sistemas de verificação em duas etapas ajuda no caso dos dados furtados de navegadores, mas não com o comunicador em si, já que o token obtido pelos bandidos indica ao sistema um login já bem-sucedido.

O vetor inicial de contaminação, por outro lado, não foi determinado pela Cyble, que já posiciona o AXLocker como representante de uma nova leva de ransomwares voltados contra usuários comuns. Por isso, a recomendação geral é de cautela no download de arquivos da internet, mensagens ou e-mails fraudulentos, que costumam ser os caminhos usuais para a entrega de pragas desse tipo.

Fonte: Cyble