Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Ransomware mới mã hóa file, sau đó đánh cắp tài khoản Discord của người dùng
Dòng ransomware 'AXLocker' mới không chỉ mã hóa các file của nạn nhân và yêu cầu thanh toán tiền chuộc mà còn đánh cắp tài khoản Discord của người dùng.
Khi người dùng đăng nhập vào Discord, nền tảng này sẽ gửi lại token xác thực người dùng được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết.
Kẻ xấu thường cố đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Discord được ưa chuộng sử dụng cho các nền tảng NFT và các nhóm tiền điện tử, nên việc đánh cắp token của mod hoặc thành viên đã được xác minh khác có thể cho phép hacker tiến hành lừa đảo và đánh cắp tiền.
AxLocker với nguy cơ 2 trong 1
Các nhà nghiên cứu tại Cyble vừa phân tích một mẫu ransomware AXLocker mới và phát hiện ra rằng nó không chỉ mã hóa các file mà còn đánh cắp token Discord của nạn nhân.
Khi được thực thi, AXLocker sẽ nhắm mục tiêu các file extension nhất định và loại trừ các thư mục cụ thể, như hình dưới:
Khi mã hóa một file, AXLocker sử dụng thuật toán AES, nhưng không nối thêm filename extension trên các file được mã hóa, vì vậy chúng xuất hiện với tên thông thường.
Tiếp theo, AXLocker gửi ID nạn nhân, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của hacker bằng cách sử dụng URL webhook.
Để đánh cắp token Discord, AxLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
Cuối cùng, nạn nhân nhận được một pop-up chứa ghi chú đòi tiền chuộc, thông báo cho họ rằng dữ liệu của họ bị mã hóa và cách thức liên hệ để trả tiền chuộc.
Các nạn nhân có 48 giờ để liên hệ với hacker bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Mặc dù ransomware này rõ ràng nhắm mục tiêu đến người tiêu dùng hơn là doanh nghiệp, nhưng nó vẫn có thể gây ra mối đe dọa đáng kể cho các cộng đồng lớn.
Do đó, nếu bạn bị AxLocker mã hóa máy tính, hãy đổi ngay mật khẩu Discord của mình. Mặc dù điều này có thể không giúp khôi phục dữ liệu, nhưng sẽ ngăn chặn việc xâm nhập thêm tài khoản, dữ liệu của bạn và các cộng đồng mà bạn tham gia.
Khi người dùng đăng nhập vào Discord, nền tảng này sẽ gửi lại token xác thực người dùng được lưu trên máy tính. Sau đó, token này có thể được sử dụng để đăng nhập với tư cách là người dùng hoặc để đưa ra các truy vấn API truy xuất thông tin về tài khoản liên kết.
Kẻ xấu thường cố đánh cắp các token này bởi từ đó có thể chiếm đoạt tài khoản hoặc lạm dụng để thực hiện các cuộc tấn công nguy hiểm hơn nữa.
Discord được ưa chuộng sử dụng cho các nền tảng NFT và các nhóm tiền điện tử, nên việc đánh cắp token của mod hoặc thành viên đã được xác minh khác có thể cho phép hacker tiến hành lừa đảo và đánh cắp tiền.
AxLocker với nguy cơ 2 trong 1
Các nhà nghiên cứu tại Cyble vừa phân tích một mẫu ransomware AXLocker mới và phát hiện ra rằng nó không chỉ mã hóa các file mà còn đánh cắp token Discord của nạn nhân.
Khi được thực thi, AXLocker sẽ nhắm mục tiêu các file extension nhất định và loại trừ các thư mục cụ thể, như hình dưới:
Khi mã hóa một file, AXLocker sử dụng thuật toán AES, nhưng không nối thêm filename extension trên các file được mã hóa, vì vậy chúng xuất hiện với tên thông thường.
Tiếp theo, AXLocker gửi ID nạn nhân, chi tiết hệ thống, dữ liệu được lưu trữ trong trình duyệt và token Discord đến kênh Discord của hacker bằng cách sử dụng URL webhook.
Để đánh cắp token Discord, AxLocker sẽ quét các thư mục sau để tìm và trích xuất token bằng cách sử dụng các biểu thức thông thường:
- Discord\Local Storage\leveldb
- discordcanary\Local Storage\leveldb
- discordptb\leveldb
- Opera Software\Opera Stable\Local Storage\leveldb
- Google\Chrome\User Data\\Default\Local Storage\leveldb
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
Cuối cùng, nạn nhân nhận được một pop-up chứa ghi chú đòi tiền chuộc, thông báo cho họ rằng dữ liệu của họ bị mã hóa và cách thức liên hệ để trả tiền chuộc.
Các nạn nhân có 48 giờ để liên hệ với hacker bằng ID nạn nhân của họ, nhưng số tiền chuộc không được đề cập trong ghi chú.
Mặc dù ransomware này rõ ràng nhắm mục tiêu đến người tiêu dùng hơn là doanh nghiệp, nhưng nó vẫn có thể gây ra mối đe dọa đáng kể cho các cộng đồng lớn.
Do đó, nếu bạn bị AxLocker mã hóa máy tính, hãy đổi ngay mật khẩu Discord của mình. Mặc dù điều này có thể không giúp khôi phục dữ liệu, nhưng sẽ ngăn chặn việc xâm nhập thêm tài khoản, dữ liệu của bạn và các cộng đồng mà bạn tham gia.
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối: