Các nhà nghiên cứu tại Cyble cho biết điều đặc biệt ở mã độc tống tiền AXLocker là nó không những chỉ mã hóa các tệp dữ liệu mà còn đánh cắp token Discord của người dùng. Điều này khiến dòng mã độc này càng trở nên nguy hiểm hơn.
Khi người dùng đăng nhập vào Discord bằng thông tin đăng nhập của họ, nền tảng này sẽ gửi lại token xác thực được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết. Các tin tặc thường cố gắng đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Hiện nay, Discord đã trở thành nền tảng được ưa chuộng dành cho cộng đồng NFT và tiền điện tử, khiến nó trở thành mục tiêu cho các cuộc tấn công. Việc đánh cắp token của người kiểm duyệt hoặc thành viên đã được xác minh khác có thể cho phép tin tặc tiến hành các cuộc tấn công lừa đảo và đánh cắp dữ liệu tài chính của người dùng.
Sau khi thực thi, AXLocker sẽ tự ẩn mình bằng cách sửa đổi các thuộc tính của tệp và gọi hàm startencryption() để mã hóa các tệp.
Hàm chức năng chính của AXLocker
Hàm startencryption() chứa mã để tìm kiếm tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin nhất định để mã hóa và loại trừ các thư mục cụ thể.
Phần mở rộng tệp tin để mã hóa (trái) và các thư mục bị loại trừ mã hóa (phải)
Tiếp theo, mã độc AXLocker gọi hàm ProcessFile, hàm này sẽ tiếp tục thực thi hàm EncryptFile với tên tệp làm đối số để mã hóa các tệp hệ thống của nạn nhân. Khi mã hóa một tệp, AXLocker sử dụng thuật toán AES để mã hóa.
AXLocker tìm kiếm và mã hóa tệp tin
Các nhà nghiên cứu của Cyble phát hiện AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa. Hình ảnh dưới đây cho thấy tệp mã hóa của AXLocker sau khi lây nhiễm thành công trên máy nạn nhân.
Tệp tin bị mã hóa bởi AXLocker
Sau khi mã hóa các tệp của nạn nhân, AXLocker sẽ thu thập và gửi một số thông tin nhạy cảm như tên máy tính, tên người dùng, địa chỉ IP, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của tin tặc.
Lọc thông tin chi tiết bị đánh cắp của nạn nhân
Để đánh cắp token Discord, AXLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
Mã độc này sử dụng biểu thức chính quy để tìm token Discord trong các tệp lưu trữ cục bộ và lưu vào một danh sách, sau đó gửi chúng đến máy chủ Discord cùng với thông tin khác bằng URL webhook: hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimba7xriJVmtb14gUP3VCBBZ0AZR
Hàm chức năng để đánh cắp token Discord của AXLocker
Cuối cùng, nạn nhân nhận được một pop-up có nội dung đòi tiền chuộc, thông báo rằng dữ liệu của họ đã bị mã hóa và cách thức liên hệ để trả tiền chuộc. Các nạn nhân sẽ có 48 giờ để liên hệ với các tin tặc bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Ghi chú đòi tiền chuộc
Để chủ động phòng tránh và ngăn chặn AXLocker cũng như các dòng mã độc tống tiền khác, người dùng nên thực hiện một số thao tác sau:
Hồng Đạt
11:00 | 11/11/2022
10:00 | 15/12/2022
09:00 | 13/12/2022
12:00 | 23/09/2022
14:00 | 14/12/2022
09:00 | 12/09/2022
10:00 | 28/08/2023
12:00 | 30/06/2022
10:00 | 22/12/2022
15:00 | 27/07/2023
Tiếp nối các hoạt động tri ân nhân kỷ niệm 76 năm ngày Thương binh, liệt sĩ (27/7/1947 - 27/7/2023), sáng ngày 27/7, Lãnh đạo Ban Cơ yếu Chính phủ đã tổ chức một số hoạt động gặp mặt, tri ân.
15:00 | 20/06/2023
Hòa chung không khí cả nước hướng về kỷ niệm 98 năm ngày Báo chí Cách mạng Việt Nam, chiều 19/6, Tạp chí An toàn thông tin (Ban Cơ yếu Chính phủ) tổ chức Tọa đàm “Chuyển đổi số là yếu tố tiên quyết của báo chí hiện đại” nhân dịp kỷ niệm 98 năm ngày Báo chí Cách mạng Việt Nam và kỷ niệm 10 năm Tạp chí An toàn thông tin điện tử ra mắt bạn đọc.
22:00 | 17/06/2023
Bước vào đầu thế kỷ 21, công nghệ thông tin và truyền thông đã bắt đầu phát triển mạnh mẽ, mở ra một kỷ nguyên mới cho xã hội loài người. Điều này mang đến nhiều lợi ích to lớn cho thế giới nói chung và Việt Nam nói riêng, nhưng cũng đặt ra nhiều thách thức, đặc biệt là vấn đề bảo mật và an toàn thông tin. Trong thời gian này, khái niệm an toàn thông tin còn rất mới mẻ và rất “mơ hồ” với đa số người dùng máy tính tại Việt Nam. Vậy làm thế nào để giúp người dùng nhận thức về an toàn thông tin, mất an toàn thông tin và phòng tránh các sự cố về an toàn thông tin...?
09:00 | 16/06/2023
Ngày 15/6/2023, tại Hà Nội, Ban Cơ yếu Chính phủ phối hợp với Hội đồng Lý luận Trung ương, Học viện Báo chí và Tuyên truyền tổ chức Hội thảo khoa học Quốc gia với chủ đề “An ninh mạng và Mật mã trong nền an ninh quốc gia”. Hội thảo nhằm làm rõ những vấn đề lý luận và thực tiễn về an ninh mạng, vấn đề quản trị an ninh mạng trong nền an ninh quốc gia Việt Nam và thế giới, nghiên cứu đề xuất giải pháp phát triển nguồn lực cho an ninh mạng…
Trong không khí náo nức trên khắp cả nước chào mừng một năm học mới, sáng ngày 08/9, tại Học viện Kỹ thuật mật mã, các bậc phụ huynh và tân sinh viên từ nhiều tỉnh thành khác nhau đã có mặt để làm thủ tục chính thức nhập học.
09:00 | 11/09/2023
Vừa qua, Văn phòng Tỉnh ủy Nghệ An phối hợp cùng Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ tổ chức Lớp tập huấn, huấn luyện bồi dưỡng nghiệp vụ công tác Cơ yếu năm 2023. Tham gia Lớp tập huấn có 78 đồng chí là Lãnh đạo Văn phòng Tỉnh ủy; các phòng thuộc Văn phòng Tỉnh ủy; cán bộ làm công tác văn thư của các ban Đảng, Ủy ban kiểm tra Tỉnh ủy, cơ yếu các huyện, thành, thị ủy.
08:00 | 22/09/2023
Mới đây, Google vừa phát hành phiên bản Chrome 117 để kỷ niệm 15 năm ra mắt của trình duyệt này. Trong bản cập nhật này, Google đã bổ sung thêm nhiều tính năng mới cũng như áp dụng ngôn ngữ Material You để trình duyệt Chrome tiện lợi và dễ sử dụng hơn.
18:00 | 22/09/2023