AxLocker: mối đe dọa hai trong một
Các nhà nghiên cứu tại Cyble cho biết điều đặc biệt ở mã độc tống tiền AXLocker là nó không những chỉ mã hóa các tệp dữ liệu mà còn đánh cắp token Discord của người dùng. Điều này khiến dòng mã độc này càng trở nên nguy hiểm hơn.
Khi người dùng đăng nhập vào Discord bằng thông tin đăng nhập của họ, nền tảng này sẽ gửi lại token xác thực được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết. Các tin tặc thường cố gắng đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Hiện nay, Discord đã trở thành nền tảng được ưa chuộng dành cho cộng đồng NFT và tiền điện tử, khiến nó trở thành mục tiêu cho các cuộc tấn công. Việc đánh cắp token của người kiểm duyệt hoặc thành viên đã được xác minh khác có thể cho phép tin tặc tiến hành các cuộc tấn công lừa đảo và đánh cắp dữ liệu tài chính của người dùng.
Phân tích kỹ thuật AxLocker
Sau khi thực thi, AXLocker sẽ tự ẩn mình bằng cách sửa đổi các thuộc tính của tệp và gọi hàm startencryption() để mã hóa các tệp.
Hàm startencryption() chứa mã để tìm kiếm tệp bằng cách liệt kê các thư mục khả dụng trong ổ C:\. Nó tìm kiếm các phần mở rộng tập tin nhất định để mã hóa và loại trừ các thư mục cụ thể.
Tiếp theo, mã độc AXLocker gọi hàm ProcessFile, hàm này sẽ tiếp tục thực thi hàm EncryptFile với tên tệp làm đối số để mã hóa các tệp hệ thống của nạn nhân. Khi mã hóa một tệp, AXLocker sử dụng thuật toán AES để mã hóa.
Các nhà nghiên cứu của Cyble phát hiện AXLocker không thay đổi tên tệp hoặc phần mở rộng sau khi mã hóa. Hình ảnh dưới đây cho thấy tệp mã hóa của AXLocker sau khi lây nhiễm thành công trên máy nạn nhân.
Sau khi mã hóa các tệp của nạn nhân, AXLocker sẽ thu thập và gửi một số thông tin nhạy cảm như tên máy tính, tên người dùng, địa chỉ IP, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của tin tặc.
Để đánh cắp token Discord, AXLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
-
Discord\Local Storage\leveldb
-
discordcanary\Local Storage\leveldb
-
discordptb\leveldb
-
Opera Software\Opera Stable\Local Storage\leveldb
-
Google\Chrome\User Data\\Default\Local Storage\leveldb
-
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
-
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
Mã độc này sử dụng biểu thức chính quy để tìm token Discord trong các tệp lưu trữ cục bộ và lưu vào một danh sách, sau đó gửi chúng đến máy chủ Discord cùng với thông tin khác bằng URL webhook: hxxps://discord[.]com/api/webhooks/1039930467614478378/N2J80EuPMXSWuIBpizgDJ-75[Redacted]DJimba7xriJVmtb14gUP3VCBBZ0AZR
Cuối cùng, nạn nhân nhận được một pop-up có nội dung đòi tiền chuộc, thông báo rằng dữ liệu của họ đã bị mã hóa và cách thức liên hệ để trả tiền chuộc. Các nạn nhân sẽ có 48 giờ để liên hệ với các tin tặc bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Các biện pháp an toàn để ngăn chặn tấn công mã độc tống tiền
Để chủ động phòng tránh và ngăn chặn AXLocker cũng như các dòng mã độc tống tiền khác, người dùng nên thực hiện một số thao tác sau:
-
Thực hiện các hoạt động sao lưu thường xuyên và giữ các bản sao lưu đó ở chế độ ngoại tuyến hoặc trong một vùng mạng riêng biệt.
-
Bật tính năng cập nhật phần mềm tự động trên máy tính, thiết bị di động và các thiết bị được kết nối khác.
-
Sử dụng các chương trình phần mềm chống vi-rút và bảo mật Internet uy tín trên các thiết bị được kết nối, bao gồm PC, máy tính xách tay và thiết bị di động.
-
Không mở các liên kết và tệp đính kèm email không đáng tin cậy mà không xác minh được nguồn gốc của chúng.
-
Trong trường hợp bị AXLocker tấn công và mã hóa dữ liệu trên máy tính, hãy đổi ngay mật khẩu Discord. Mặc dù điều này có thể không giúp khôi phục dữ liệu, nhưng sẽ ngăn chặn việc xâm nhập thêm tài khoản và dữ liệu của người dùng.