Các nhà nghiên cứu tại Cyble cho biết điều đặc biệt ở mã độc tống tiền AXLocker là nó không những chỉ mã hóa các tệp dữ liệu mà còn đánh cắp token Discord của người dùng. Điều này khiến dòng mã độc này càng trở nên nguy hiểm hơn.
Khi người dùng đăng nhập vào Discord bằng thông tin đăng nhập của họ, nền tảng này sẽ gửi lại token xác thực được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết. Các tin tặc thường cố gắng đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Hiện nay, Discord đã trở thành nền tảng được ưa chuộng dành cho cộng đồng NFT và tiền điện tử, khiến nó trở thành mục tiêu cho các cuộc tấn công. Việc đánh cắp token của người kiểm duyệt hoặc thành viên đã được xác minh khác có thể cho phép tin tặc tiến hành các cuộc tấn công lừa đảo và đánh cắp dữ liệu tài chính của người dùng.
Sau khi thực thi, AXLocker sẽ tự ẩn mình bằng cách sửa đổi các thuộc tính của tệp và gọi hàm startencryption() để mã hóa các tệp.
Hàm chức năng chính của AXLocker
Hàm startencryption() chứa mã để tìm kiếm tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin nhất định để mã hóa và loại trừ các thư mục cụ thể.
Phần mở rộng tệp tin để mã hóa (trái) và các thư mục bị loại trừ mã hóa (phải)
Tiếp theo, mã độc AXLocker gọi hàm ProcessFile, hàm này sẽ tiếp tục thực thi hàm EncryptFile với tên tệp làm đối số để mã hóa các tệp hệ thống của nạn nhân. Khi mã hóa một tệp, AXLocker sử dụng thuật toán AES để mã hóa.
AXLocker tìm kiếm và mã hóa tệp tin
Các nhà nghiên cứu của Cyble phát hiện AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa. Hình ảnh dưới đây cho thấy tệp mã hóa của AXLocker sau khi lây nhiễm thành công trên máy nạn nhân.
Tệp tin bị mã hóa bởi AXLocker
Sau khi mã hóa các tệp của nạn nhân, AXLocker sẽ thu thập và gửi một số thông tin nhạy cảm như tên máy tính, tên người dùng, địa chỉ IP, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của tin tặc.
Lọc thông tin chi tiết bị đánh cắp của nạn nhân
Để đánh cắp token Discord, AXLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
Mã độc này sử dụng biểu thức chính quy để tìm token Discord trong các tệp lưu trữ cục bộ và lưu vào một danh sách, sau đó gửi chúng đến máy chủ Discord cùng với thông tin khác bằng URL webhook: hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimba7xriJVmtb14gUP3VCBBZ0AZR
Hàm chức năng để đánh cắp token Discord của AXLocker
Cuối cùng, nạn nhân nhận được một pop-up có nội dung đòi tiền chuộc, thông báo rằng dữ liệu của họ đã bị mã hóa và cách thức liên hệ để trả tiền chuộc. Các nạn nhân sẽ có 48 giờ để liên hệ với các tin tặc bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Ghi chú đòi tiền chuộc
Để chủ động phòng tránh và ngăn chặn AXLocker cũng như các dòng mã độc tống tiền khác, người dùng nên thực hiện một số thao tác sau:
Hồng Đạt
11:00 | 11/11/2022
10:00 | 15/12/2022
09:00 | 13/12/2022
12:00 | 23/09/2022
09:00 | 12/09/2022
14:00 | 14/12/2022
10:00 | 22/12/2022
12:00 | 30/06/2022
17:00 | 29/12/2022
Sáng ngày 29/12/2022, tại Hà Nội, Học viện Kỹ thuật mật mã, Ban Cơ yếu Chính phủ đã long trọng tổ chức Lễ Khai giảng và trao bằng tốt nghiệp cho 3 tân Tiến sĩ chuyên ngành Mật mã, 22 tân Thạc sĩ chuyên ngành Kỹ thuật mật mã và 31 tân Thạc sĩ chuyên ngành An toàn thông tin.
14:00 | 05/12/2022
Kỷ niệm 25 năm Khai trương dịch vụ Internet Việt Nam, đánh dấu sự kiện Internet Day lần thứ 11 được tổ chức, Hiệp hội Internet Việt Nam (VIA) phối hợp với Trung tâm Internet Việt Nam (VNNIC) sẽ tổ chức Chương trình 25 năm Internet Việt Nam & Internet Day 2022 vào ngày 07/12/2022 tại Khách sạn Meliá, Hà Nội.
20:00 | 05/11/2022
Với sự tham gia của 20 đội thi đạt thành tích cao tại vòng thi Sơ khảo, vòng Chung khảo cuộc thi Sinh viên với An toàn thông tin ASEAN năm 2022 đã khép lại với giải Nhất thuộc về đội UIT.pawf3ct đến từ Đại học Công nghệ thông tin, TP. HCM.
08:00 | 06/10/2022
Chiều ngày 5/10, tại trụ sở Bộ Quốc phòng, Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó Bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng đã trao Quyết định về việc thăng quân hàm từ Đại tá lên Thiếu tướng đối với đồng chí Nguyễn Đăng Lực, Bí thư Đảng ủy, Phó Trưởng ban Ban Cơ yếu Chính phủ và đồng chí Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng Tham mưu.
Châu Âu sẽ siết chặt quy định đối với quảng cáo chính trị để chống lại các thông tin sai sự thật trong các cuộc bầu cử. Họ sẽ không cho phép các nhà quảng cáo lấy dữ liệu người dùng thông qua việc nghe lén.
16:00 | 03/02/2023
Ngày 17/12, Học viện An ninh nhân dân đã tổ chức Lễ kỷ niệm 40 năm ngày truyền thống Khoa An ninh thông tin (1982 - 2022). Đại tá, GS, TS. Nguyễn Trường Thọ, Phó Giám đốc Học viện An ninh nhân dân đã đến dự và chủ trì buổi Lễ.
15:00 | 25/12/2022
Kể từ khi ra mắt phiên bản beta vào tháng 11/2022, chatbot AI ChatGPT đã được sử dụng cho nhiều nhiệm vụ, bao gồm viết thơ, bài viết kỹ thuật, tiểu thuyết, tiểu luận và lập kế hoạch cho các bữa tiệc cũng như tìm hiểu về các chủ đề mới.... Giờ đây, ChatGPT có thể bị lợi dụng để phát triển phần mềm độc hại.
16:00 | 01/02/2023