Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers usam novo ransomware que criptografa arquivos e arquivos Rouba tokens da máquina da vítima

Pesquisadores de seguran√ßa da Cyble identificaram recentemente que os autores de ransomware agora t√™m acesso a uma nova ferramenta maliciosa ‚Äď AXLocker ‚Äď que tem a capacidade de criptografar e inutilizar v√°rios tipos de arquivos.

Sendo uma das famílias de malware mais lucrativas e importantes para os agentes de ameaças, o ransomware tornou-se rapidamente um dos tipos de ameaças mais importantes.

Fluxo de Ataque

Três novas famílias de ransomware foram descobertas: AXLocker, Octocrypt e Alice Ransomware.

Os invasores por tr√°s do ransomware AXLocker roubam tokens de disc√≥rdia e contas de usu√°rios infectados. Depois de criptografar os arquivos no computador da v√≠tima, uma nota de resgate √© exibida. Esta nota fornece instru√ß√Ķes √† v√≠tima sobre como obter a ferramenta de descriptografia. Pesquisadores da Cyble disseram via t√©cnico relat√≥rio.

Os tokens Discord roubados por hackers podem ser usados ‚Äč‚Äčpara realizar as seguintes a√ß√Ķes:

  • Fa√ßa login como usu√°rio
  • Obtenha informa√ß√Ķes sobre a conta associada emitindo solicita√ß√Ķes de API

Plataformas NFT e grupos de criptomoedas recorreram ao Discord como comunidade preferida para comunicação.

Portanto, é óbvio que um invasor pode usar o token do moderador do Discord, bem como os tokens de outros membros verificados da comunidade, para realizar golpes e roubar fundos por meio do uso fraudulento deles.

O novo ransomware AXLocker foi marcado como um dos malwares mais sofisticados, pois rouba tokens Discord de suas vítimas, além de criptografar os arquivos de suas vítimas.

Embora os atores da amea√ßa que usam essa ferramenta maliciosa n√£o possuam nenhuma sofistica√ß√£o especial no que diz respeito √†s suas a√ß√Ķes.

Após a execução do ransomware, ele criptografa os arquivos chamando uma função chamada startencryption() no sistema que oculta sua presença modificando os atributos de seus arquivos.

Uma função startencryption() é responsável por enumerar os diretórios disponíveis na unidade C:/ e localizar arquivos neles usando o código contido na função.

N√≥s recomendamos:  Google Nest Mini vaza na √≠ntegra com o novo cabo de alimenta√ß√£o, suporte de parede

O processo de criptografia √© controlado procurando extens√Ķes de arquivo criptograf√°veis ‚Äč‚Äče excluindo uma lista de diret√≥rios da criptografia.

Isto é seguido pelo ransomware chamando a função ProcessFile, que então executará a função EncryptFile que criptografa os arquivos do sistema da vítima usando o fileName como argumento.

O algoritmo AES é usado pelo AXLocker ao criptografar arquivos. No entanto, os arquivos criptografados não possuem nenhuma extensão anexada aos seus nomes de arquivo, portanto, eles aparecem com os mesmos nomes do original.

Em seguida, ele usa um URL de webhook por meio do qual envia os seguintes dados para o canal Discord que está sob o controle dos atores da ameaça:-

  • ID da v√≠tima
  • Detalhes do sistema
  • Dados armazenados em navegadores
  • Tokens de disc√≥rdia

Al√©m disso, os analistas de seguran√ßa tamb√©m detectaram mais duas fam√≠lias de ransomware e aqui elas s√£o mencionadas abaixo: ‚Äď

  • Octocrypt Ransomware
  • Alice Ransomware

Existe um modelo de neg√≥cios RaaS (Ransomware como servi√ßo) por tr√°s de ambos os ransomware. Todos Windows vers√Ķes s√£o alvo dessas novas variantes de ransomware.

Diretórios direcionados

Entre os diret√≥rios visados ‚Äč‚Äčpelo malware para roubar tokens Discord est√£o os seguintes: ‚Äď

  • Discord\Armazenamento local\leveldb
  • discordcanary\Armazenamento local\leveldb
  • discordptb\leveldb
  • Software Opera\Opera Stable\Armazenamento Local\leveldb
  • Google\Chrome\Dados do usu√°rio\\Padr√£o\Armazenamento local\leveldb
  • BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
  • Yandex\YandexBrowser\Dados do usu√°rio\Padr√£o\Armazenamento local\leveldb

No entanto, é importante notar que, embora este ransomware seja dirigido principalmente aos consumidores, ainda assim pode representar uma ameaça substancial também para grandes comunidades e empresas.

Recomenda√ß√Ķes

A seguir mencionamos todas as recomenda√ß√Ķes oferecidas pelos especialistas: –

  • Os backups devem ser realizados regularmente.
  • Certifique-se de armazenar seus backups na nuvem ou em uma rede separada.
  • Recomenda-se que voc√™ habilite as atualiza√ß√Ķes autom√°ticas de software em seu computador, celular e quaisquer outros dispositivos conectados sempre que poss√≠vel e pr√°tico.
  • Seus dispositivos conectados, como computador, laptop e telefone celular, devem ser protegidos com um pacote antiv√≠rus e de software de seguran√ßa de Internet confi√°vel.
  • Certifique-se de verificar a autenticidade dos anexos e links de e-mail antes de abri-los.
  • Os dispositivos infectados na mesma rede devem ser desconectados.
  • Certifique-se de que os dispositivos de armazenamento externos estejam desconectados, caso estejam conectados.
  • Certifique-se de que os logs do sistema sejam verificados em busca de atividades suspeitas.
  • Recomendamos a leitura de Resposta e Mitiga√ß√£o de Ataques de Ransomware Lista de controle.
N√≥s recomendamos:  ASUS Zenbook 14 OLED e Vivobook Series com chipset Ryzen 7000 Series lan√ßado na √ćndia

Table of Contents