Các nhà nghiên cứu tại Cyble cho biết điều đặc biệt ở mã độc tống tiền AXLocker là nó không những chỉ mã hóa các tệp dữ liệu mà còn đánh cắp token Discord của người dùng. Điều này khiến dòng mã độc này càng trở nên nguy hiểm hơn.
Khi người dùng đăng nhập vào Discord bằng thông tin đăng nhập của họ, nền tảng này sẽ gửi lại token xác thực được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết. Các tin tặc thường cố gắng đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Hiện nay, Discord đã trở thành nền tảng được ưa chuộng dành cho cộng đồng NFT và tiền điện tử, khiến nó trở thành mục tiêu cho các cuộc tấn công. Việc đánh cắp token của người kiểm duyệt hoặc thành viên đã được xác minh khác có thể cho phép tin tặc tiến hành các cuộc tấn công lừa đảo và đánh cắp dữ liệu tài chính của người dùng.
Sau khi thực thi, AXLocker sẽ tự ẩn mình bằng cách sửa đổi các thuộc tính của tệp và gọi hàm startencryption() để mã hóa các tệp.
Hàm chức năng chính của AXLocker
Hàm startencryption() chứa mã để tìm kiếm tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin nhất định để mã hóa và loại trừ các thư mục cụ thể.
Phần mở rộng tệp tin để mã hóa (trái) và các thư mục bị loại trừ mã hóa (phải)
Tiếp theo, mã độc AXLocker gọi hàm ProcessFile, hàm này sẽ tiếp tục thực thi hàm EncryptFile với tên tệp làm đối số để mã hóa các tệp hệ thống của nạn nhân. Khi mã hóa một tệp, AXLocker sử dụng thuật toán AES để mã hóa.
AXLocker tìm kiếm và mã hóa tệp tin
Các nhà nghiên cứu của Cyble phát hiện AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa. Hình ảnh dưới đây cho thấy tệp mã hóa của AXLocker sau khi lây nhiễm thành công trên máy nạn nhân.
Tệp tin bị mã hóa bởi AXLocker
Sau khi mã hóa các tệp của nạn nhân, AXLocker sẽ thu thập và gửi một số thông tin nhạy cảm như tên máy tính, tên người dùng, địa chỉ IP, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của tin tặc.
Lọc thông tin chi tiết bị đánh cắp của nạn nhân
Để đánh cắp token Discord, AXLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
Mã độc này sử dụng biểu thức chính quy để tìm token Discord trong các tệp lưu trữ cục bộ và lưu vào một danh sách, sau đó gửi chúng đến máy chủ Discord cùng với thông tin khác bằng URL webhook: hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimba7xriJVmtb14gUP3VCBBZ0AZR
Hàm chức năng để đánh cắp token Discord của AXLocker
Cuối cùng, nạn nhân nhận được một pop-up có nội dung đòi tiền chuộc, thông báo rằng dữ liệu của họ đã bị mã hóa và cách thức liên hệ để trả tiền chuộc. Các nạn nhân sẽ có 48 giờ để liên hệ với các tin tặc bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Ghi chú đòi tiền chuộc
Để chủ động phòng tránh và ngăn chặn AXLocker cũng như các dòng mã độc tống tiền khác, người dùng nên thực hiện một số thao tác sau:
Hồng Đạt
11:00 | 11/11/2022
10:00 | 10/04/2024
10:00 | 15/12/2022
09:00 | 13/12/2022
12:00 | 23/09/2022
14:00 | 14/12/2022
14:00 | 18/10/2024
09:00 | 12/09/2022
10:00 | 22/12/2022
10:00 | 28/08/2023
12:00 | 30/06/2022
15:00 | 19/03/2025
Cục Quản lý kỹ thuật nghiệp vụ mật mã (QLKTNVMM) với một chặng đường lịch sử 45 năm đầy dấu ấn, đã không ngừng khẳng định vai trò quan trọng của mình trong công cuộc bảo vệ bí mật quốc gia. Các thế hệ cán bộ, nhân viên Cục QLKTNVMM đã có nhiều cố gắng, vượt qua mọi khó khăn thử thách không ngừng phát triển và trưởng thành về mọi mặt, góp phần xây dựng ngành Cơ yếu Việt Nam chính quy, hiện đại, đáp ứng yêu cầu bảo mật thông tin trong thời đại số.
17:00 | 25/02/2025
Sáng 25/02/2025, tại Hà Nội, Bộ Công an đã tổ chức Lễ công bố thành lập Trung tâm dữ liệu quốc gia. Tham dự buổi Lễ có đồng chí Nguyễn Duy Ngọc, Ủy viên Bộ Chính trị, Bí thư Trung ương Đảng, Chủ nhiệm Ủy ban Kiểm tra Trung ương.
13:00 | 14/02/2025
Chatbot AI DeepSeek đang tạo ra làn sóng chấn động trên Phố Wall và ảnh hưởng mạnh mẽ đến Nvidia, khiến cổ phiếu công ty này bốc hơi 600 tỷ USD chỉ trong một ngày. Không chỉ có vậy, DeepSeek cũng đã vượt qua chatbot AI ChatGPT để vươn lên dẫn đầu trên App Store về danh mục ứng dụng miễn phí. Sự phát triển nhanh chóng mặt này đã khiến các công ty trí tuệ nhân tạo (AI) cũng như các chính phủ phương Tây và Cơ quan Hàng không Vũ trụ Mỹ (NASA) phải lên tiếng cảnh báo.
17:00 | 28/01/2025
Fortinet mới đây đã cảnh báo một chiến dịch lừa đảo mới lợi dụng tính năng của Microsoft 365 để gửi yêu cầu thanh toán cho người dùng, dụ dỗ họ đăng nhập vào tài khoản và trao quyền kiểm soát tài khoản PayPal cho kẻ tấn công.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh biến đổi khí hậu ngày càng phức tạp, Công ty Cổ phần Nhiệt điện Hải Phòng không ngừng nỗ lực cải thiện quy trình sản xuất nhằm bảo vệ môi trường và thúc đẩy an sinh xã hội. Với chiến lược sử dụng hợp lý tài nguyên và áp dụng công nghệ tiên tiến, công ty đã và đang thực hiện nhiều biện pháp thiết thực để giảm thiểu tác động đến môi trường.
10:00 | 21/03/2025
Đó là chủ đề của Khối thi đua 4 hệ Cơ yếu: Quân đội, Công an, Ngoại giao, Đảng - Chính quyền được phát động lại Lễ ký Giao ước thi đua năm 2025 diễn ra tại Hà Nội, ngày 7/3. Đồng chí Lê Anh Tuấn, Thứ trưởng Bộ Ngoại giao đến dự và phát biểu tại Hội nghị.
12:00 | 08/03/2025
SoftBank có kế hoạch chuyển đổi một nhà máy sản xuất tấm nền LCD Sharp trước đây tại Nhật Bản thành một trung tâm dữ liệu để vận hành các tác nhân trí tuệ nhân tạo được phát triển với sự hợp tác của OpenAI, “cha đẻ” của ChatGPT.
10:00 | 21/03/2025
