Các nhà nghiên cứu tại Cyble cho biết điều đặc biệt ở mã độc tống tiền AXLocker là nó không những chỉ mã hóa các tệp dữ liệu mà còn đánh cắp token Discord của người dùng. Điều này khiến dòng mã độc này càng trở nên nguy hiểm hơn.
Khi người dùng đăng nhập vào Discord bằng thông tin đăng nhập của họ, nền tảng này sẽ gửi lại token xác thực được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết. Các tin tặc thường cố gắng đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Hiện nay, Discord đã trở thành nền tảng được ưa chuộng dành cho cộng đồng NFT và tiền điện tử, khiến nó trở thành mục tiêu cho các cuộc tấn công. Việc đánh cắp token của người kiểm duyệt hoặc thành viên đã được xác minh khác có thể cho phép tin tặc tiến hành các cuộc tấn công lừa đảo và đánh cắp dữ liệu tài chính của người dùng.
Sau khi thực thi, AXLocker sẽ tự ẩn mình bằng cách sửa đổi các thuộc tính của tệp và gọi hàm startencryption() để mã hóa các tệp.
Hàm chức năng chính của AXLocker
Hàm startencryption() chứa mã để tìm kiếm tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin nhất định để mã hóa và loại trừ các thư mục cụ thể.
Phần mở rộng tệp tin để mã hóa (trái) và các thư mục bị loại trừ mã hóa (phải)
Tiếp theo, mã độc AXLocker gọi hàm ProcessFile, hàm này sẽ tiếp tục thực thi hàm EncryptFile với tên tệp làm đối số để mã hóa các tệp hệ thống của nạn nhân. Khi mã hóa một tệp, AXLocker sử dụng thuật toán AES để mã hóa.
AXLocker tìm kiếm và mã hóa tệp tin
Các nhà nghiên cứu của Cyble phát hiện AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa. Hình ảnh dưới đây cho thấy tệp mã hóa của AXLocker sau khi lây nhiễm thành công trên máy nạn nhân.
Tệp tin bị mã hóa bởi AXLocker
Sau khi mã hóa các tệp của nạn nhân, AXLocker sẽ thu thập và gửi một số thông tin nhạy cảm như tên máy tính, tên người dùng, địa chỉ IP, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của tin tặc.
Lọc thông tin chi tiết bị đánh cắp của nạn nhân
Để đánh cắp token Discord, AXLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
Mã độc này sử dụng biểu thức chính quy để tìm token Discord trong các tệp lưu trữ cục bộ và lưu vào một danh sách, sau đó gửi chúng đến máy chủ Discord cùng với thông tin khác bằng URL webhook: hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimba7xriJVmtb14gUP3VCBBZ0AZR
Hàm chức năng để đánh cắp token Discord của AXLocker
Cuối cùng, nạn nhân nhận được một pop-up có nội dung đòi tiền chuộc, thông báo rằng dữ liệu của họ đã bị mã hóa và cách thức liên hệ để trả tiền chuộc. Các nạn nhân sẽ có 48 giờ để liên hệ với các tin tặc bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Ghi chú đòi tiền chuộc
Để chủ động phòng tránh và ngăn chặn AXLocker cũng như các dòng mã độc tống tiền khác, người dùng nên thực hiện một số thao tác sau:
Hồng Đạt
11:00 | 11/11/2022
10:00 | 15/12/2022
09:00 | 13/12/2022
12:00 | 23/09/2022
14:00 | 14/12/2022
09:00 | 12/09/2022
10:00 | 28/08/2023
12:00 | 30/06/2022
10:00 | 22/12/2022
19:00 | 30/11/2023
Ngày 30/11, tại Hà Nội, Ban Cơ yếu Chính phủ ký kết thỏa thuận hợp tác với Hiệp hội Blockchain Việt Nam, nhằm phát huy thế mạnh của hai bên trong các hoạt động nghiên cứu, tư vấn, phổ cập công nghệ Blockchain tại Việt Nam.
08:00 | 28/11/2023
Theo báo cáo của Chính phủ Australia, các nhóm tin tặc được nhà nước bảo trợ đã gia tăng các hoạt động tấn công mạng vào cơ sở hạ tầng quan trọng của nước này, đồng thời cho biết thêm rằng thỏa thuận quốc phòng mới với Anh và Mỹ có thể khiến Australia trở thành mục tiêu của nhiều chiến dịch tấn công mạng mới.
14:00 | 23/11/2023
Pháp, Đức và Ý đã đạt được thỏa thuận về cách quản lý trí tuệ nhân tạo vào ngày 19/11 vừa qua. Thỏa thuận này dự kiến sẽ đẩy nhanh các cuộc đàm phán về trí tuệ nhân tạo ở cấp độ châu Âu.
10:00 | 11/10/2023
Đạo luật Quản lý rủi ro quốc gia đã được giới thiệu tới Hạ viện Mỹ. Đây là một dự luật lưỡng đảng được đưa ra để tăng cường bảo vệ và phòng thủ các lĩnh vực cơ sở hạ tầng quan trọng trước các mối đe dọa tấn công mạng tiềm ẩn.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Chiều ngày 16/11, tại Hà Nội, Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ và Phó Chủ nhiệm Văn phòng Quốc Hội Nguyễn Mạnh Hùng đồng chủ trì buổi Lễ Ký kết Quy chế phối hợp giữa Văn phòng Quốc hội và Ban Cơ yếu Chính phủ trong công tác bảo mật, an toàn thông tin của Văn phòng Quốc hội.
09:00 | 17/11/2023
Sáng 1/12, tại Hà Nội, Bộ Quốc phòng tổ chức Buổi gặp mặt báo chí giới thiệu về Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào – Campuchia lần thứ nhất. Thiếu tướng Lê Xuân Sang, Phó Cục trưởng Cục Tuyên huấn/Tổng cục Chính trị QĐND Việt Nam chủ trì buổi gặp mặt. Thiếu tướng Văn Ngọc Quế, Phó Chủ nhiệm Chính trị Bộ đội Biên phòng; Đại tá Nguyễn Duy Minh, Phó Cục trưởng Cục Đối ngoại và Đại tá Lê Văn Đông, Phó Cục trưởng Cục Quân y/TCHC cùng tham gia cung cấp thông tin cho các đại biểu tham dự buổi gặp mặt.
11:00 | 01/12/2023
Quyết định 950 của Thủ tướng Chính phủ: Phê duyệt Đề án phát triển đô thị thông minh bền vững Việt Nam giai đoạn 2018 - 2025 và định hướng đến năm 2030, mở ra các định hướng trong hợp tác, phát triển giữa chính quyền đô thị các cấp với các doanh nghiệp, đối tác trong nước và quốc tế, đồng thời đang dần định hình một số xu hướng nổi bật trong xây dựng đô thị thông minh, đáng sống, phát triển bền vững tại Việt Nam.
16:00 | 30/11/2023
