Các nhà nghiên cứu tại Cyble cho biết điều đặc biệt ở mã độc tống tiền AXLocker là nó không những chỉ mã hóa các tệp dữ liệu mà còn đánh cắp token Discord của người dùng. Điều này khiến dòng mã độc này càng trở nên nguy hiểm hơn.
Khi người dùng đăng nhập vào Discord bằng thông tin đăng nhập của họ, nền tảng này sẽ gửi lại token xác thực được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết. Các tin tặc thường cố gắng đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Hiện nay, Discord đã trở thành nền tảng được ưa chuộng dành cho cộng đồng NFT và tiền điện tử, khiến nó trở thành mục tiêu cho các cuộc tấn công. Việc đánh cắp token của người kiểm duyệt hoặc thành viên đã được xác minh khác có thể cho phép tin tặc tiến hành các cuộc tấn công lừa đảo và đánh cắp dữ liệu tài chính của người dùng.
Sau khi thực thi, AXLocker sẽ tự ẩn mình bằng cách sửa đổi các thuộc tính của tệp và gọi hàm startencryption() để mã hóa các tệp.
Hàm chức năng chính của AXLocker
Hàm startencryption() chứa mã để tìm kiếm tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin nhất định để mã hóa và loại trừ các thư mục cụ thể.
Phần mở rộng tệp tin để mã hóa (trái) và các thư mục bị loại trừ mã hóa (phải)
Tiếp theo, mã độc AXLocker gọi hàm ProcessFile, hàm này sẽ tiếp tục thực thi hàm EncryptFile với tên tệp làm đối số để mã hóa các tệp hệ thống của nạn nhân. Khi mã hóa một tệp, AXLocker sử dụng thuật toán AES để mã hóa.
AXLocker tìm kiếm và mã hóa tệp tin
Các nhà nghiên cứu của Cyble phát hiện AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa. Hình ảnh dưới đây cho thấy tệp mã hóa của AXLocker sau khi lây nhiễm thành công trên máy nạn nhân.
Tệp tin bị mã hóa bởi AXLocker
Sau khi mã hóa các tệp của nạn nhân, AXLocker sẽ thu thập và gửi một số thông tin nhạy cảm như tên máy tính, tên người dùng, địa chỉ IP, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của tin tặc.
Lọc thông tin chi tiết bị đánh cắp của nạn nhân
Để đánh cắp token Discord, AXLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
Mã độc này sử dụng biểu thức chính quy để tìm token Discord trong các tệp lưu trữ cục bộ và lưu vào một danh sách, sau đó gửi chúng đến máy chủ Discord cùng với thông tin khác bằng URL webhook: hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimba7xriJVmtb14gUP3VCBBZ0AZR
Hàm chức năng để đánh cắp token Discord của AXLocker
Cuối cùng, nạn nhân nhận được một pop-up có nội dung đòi tiền chuộc, thông báo rằng dữ liệu của họ đã bị mã hóa và cách thức liên hệ để trả tiền chuộc. Các nạn nhân sẽ có 48 giờ để liên hệ với các tin tặc bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Ghi chú đòi tiền chuộc
Để chủ động phòng tránh và ngăn chặn AXLocker cũng như các dòng mã độc tống tiền khác, người dùng nên thực hiện một số thao tác sau:
Hồng Đạt
10:00 | 15/12/2022
10:00 | 10/04/2024
11:00 | 11/11/2022
09:00 | 13/12/2022
12:00 | 23/09/2022
14:00 | 14/12/2022
09:00 | 12/09/2022
10:00 | 28/08/2023
10:00 | 22/12/2022
12:00 | 30/06/2022
14:00 | 17/09/2024
Việc xử lý các đơn vị quảng cáo sử dụng tên định danh được cấp để phát tán tin nhắn, cuộc gọi rác là biện pháp đang được Bộ Thông tin và Truyền thông (TT&TT) thực hiện để bảo vệ người dùng dịch vụ viễn thông.
08:00 | 10/09/2024
Sau đây là một số dấu mốc quan trọng tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 10 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
08:00 | 22/08/2024
Ngày 22/8/1998, Chủ tịch nước Cộng hòa xã hội chủ nghĩa Việt Nam đã ký Quyết định truy tặng danh hiệu Anh hùng Lực lượng vũ trang nhân dân cho Liệt sỹ Cơ yếu tình báo Nguyễn Văn Giai.
17:00 | 08/08/2024
Trong hai ngày 8-9/8, tại Hà Nội, Liên hiệp các Hội Khoa học và Kỹ thuật Việt Nam, Viện Hàn lâm Khoa học và Công nghệ Việt Nam phối hợp cùng Học viện Công nghệ Bưu chính Viễn thông tổ chức Hội nghị khoa học quốc gia lần thứ XVII (FAIR’2024) với chủ đề: “Trí tuệ nhân tạo trong chuyển đổi số”.
Kaspersky sẽ ngừng cung cấp dịch vụ tại Mỹ do lệnh cấm của chính phủ, với khoảng một triệu khách hàng của họ sẽ được chuyển sang phần mềm chống mã độc UltraAV thuộc sở hữu của Pango. Việc này đánh dấu bước chuyển giao lớn trong thị trường an ninh mạng tại Hoa Kỳ.
08:00 | 18/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024