Discord, attacco di NitroRansomware. Come funziona

Un nuovo tipo di virus vagabonda in rete, colpendo anche una piattaforma molto nota fra gli appassionati di videogiochi: Discord. E’ un ransomware che si fa chiamare NitroRansomware, un tipo di malware che crittografa i file di un utente e richiede un riscatto “Discord Nitro” per decrittografare i file.

Discord è gratuito, ma offre un componente aggiuntivo in abbonamento: Nitro, al prezzo di 9,99 dollari al mese, per fornire vantaggi aggiuntivi, come caricamenti più grandi, streaming video HD, emoji migliorati e la possibilità di potenziare il server preferito, in modo che i suoi utenti possano usufruire di funzionalità extra.

Discord, NitroRansomware e il riscatto in un abbonamento

Quando si acquista un abbonamento a Nitro, gli utenti possono applicarlo al proprio account o acquistarlo come regalo per un’altra persona. Durante il regalo, all’acquirente verrà fornito un URL nel formato https://discord.gift/[code], che può quindi essere dato a un altro utente Discord.

LEGGI ANCHE >>> Crisi dei chip: si aggrava sempre più la situazione, introvabili anche i macchinari per produrli

Discord è una piattaforma statunitense di VoIP, messaggistica istantanea e distribuzione digitale progettata per la comunicazione tra comunità di videogiocatori. Gli utenti comunicano con chiamate vocali, videochiamate, messaggi di testo, media e file in chat private o come membri di un server.

LEGGI ANCHE >>> WhatsApp: nuovo pericolosissimo virus, non scaricate WhatsApp Pink

Funziona su Windows, macOS, Android, iOS, iPadOS, Linux e nei browser web grazie ad una applicazione web. E’ uno dei software più usati dagli appassionati di videogiochi e potrebbe perfino essere presto acquisita da Microsoft, secondo indiscrezioni per ben dieci miliardi di dollari.

NitroRansomware sembra essere comparso proprio su Discord. Mentre la maggior parte delle operazioni di ransomware richiede migliaia, se non milioni, di dollari in criptovaluta, NitroRansomware si differisce perché chiede appena un abbonamento da 9,99 dollari.

Basato sui nomi dei file per i campioni NitroRansomware condivisi da Malware Hunter team e analizzati da Bleeping Computer, questo nuovo ransomware sembra essere distribuito come un falso, affermando che può generare codici regalo Nitro gratuiti. Quando viene eseguito, il ransomware crittografa i file di una persona e aggiunge l’estensione .givemenitro ai file crittografati.

Al termine del suo attacco, Nitroransomware cambia lo sfondo dell’utente in un logo “Discord malvagio o arrabbiato”. Verrà quindi visualizzata una schermata del ransomware che richiede un codice regalo Nitro gratuito entro tre ore, oppure il ransomware eliminerà i file crittografati della vittima. Questo timer sembra essere una minaccia inattiva poiché i campioni di ransomware, visti da BleepingComputer, non eliminano alcun file quando termina il countdown.

Quando Nitro ransomware si avvia, cercherà il percorso di installazione di Discord di una vittima e quindi estrarrà i token utente dai file * .ldb che si trovano in “Local Storage \ leveldb”. Questi token vengono quindi rimandati all’attore della minaccia tramite un webhook Discord.