Вымогатель AXLocker не только шифрует файлы, но и крадет токены Discord

Татьяна Никитина 21 Ноября 2022 - 14:35

Домашние пользователи

...

В прошлом месяце исследователи из Cyble обнаружили три новых шифровальщика для Windows, активно продвигаемых на хакерских форумах. Наиболее интересным оказался AXLocker: он умеет воровать токены аутентификации Discord, позволяя захватить аккаунт жертвы и использовать его для проведения других вредоносных атак.

Анализ показал, что как шифровальщик AXLocker мало примечателен. При запуске 32-битный NET-бинарник пытается скрыть свой файл, изменяя его свойства, а затем приступает к поиску и преобразованию данных на диске C:\, оперируя списком расширений и папок-исключений.

Шифрование осуществляется с использованием алгоритма AES, никаких расширений к итоговым файлам не добавляется. По завершении процесса вредонос отправляет на C2-сервер ID жертвы, системные данные и украденные токены Discord.

Для поиска токенов AXLocker сканирует следующие папки:

Discord\Local Storage\leveldb,
discordcanary\Local Storage\leveldb,
discordptb\leveldb,
Opera Software\Opera Stable\Local Storage\leveldb,
Google\Chrome\User Data\\Default\Local Storage\leveldb,
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb,
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb.

Извлечение токенов из локальных хранилищ осуществляется с помощью регулярных выражений (regex). На финальной стадии жертве отображается всплывающее окно с сообщением о случившемся и призывом связаться с авторами атаки в течение 48 часов. Сумма выкупа заранее не оговорена.

Атаки AXLocker, по всей видимости, проводятся массово. Жертвам рекомендуется незамедлительно сменить пароль к Discord, чтобы аннулировать украденный токен.

Вымогатель Octocrypt написан на Go и доступен в виде билдера 64-битных бинарников, который предоставляется в пользование как услуга (бизнес-модель RaaS, Ransomware-as-a-Service). Данные жертв шифруются по AES-256 в режиме CTR, к обработанным файлам добавляется расширение .octo; выкуп взимается в монеро.

Третий шифровальщик, Alice, тоже рекламируется как RaaS-сервис с возможностью кастомизации шифратора, декриптора и записки с требованием выкупа. К зашифрованным файлам добавляется расширение .alice.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 13 Ноября 2025 - 11:10

Запрещенные сайты Нежелательные сайты Соответствие законодательству РФ Общее

В России установлен рекорд по блокировке вредоносных сайтов

В октябре в России было заблокировано 8254 вредоносных сайта — это в полтора раза больше, чем за тот же период прошлого года. Большую часть (около 6 тыс.) составили фишинговые ресурсы. Как отметил аналитик Координационного центра доменов .RU/.РФ Евгений Панков, их количество утроилось по сравнению с началом года.

Такую статистику привели «Известиям» в Координационном центре доменов .RU/.РФ.

«Рост активности мошенников напрямую связан с приближением массовых распродаж — таких, как “11.11”, к которой приурочено множество рекламных кампаний, и следующей за ней “черной пятницы”. В погоне за скидками пользователи теряют бдительность и чаще переходят по фишинговым ссылкам», — пояснил Евгений Панков.

Кроме того, злоумышленники активизировались в попытках «угнать» аккаунты в Telegram. По словам ведущего аналитика исследовательской группы Positive Technologies Яны Авезовой, применяемые ими методы становятся всё более изощрёнными.

Чаще всего используется схема с фейковыми подарками. Пользователям приходят сообщения с фишинговыми ссылками, обещающими бесплатную подписку Telegram Premium. Ссылки рассылаются с уже скомпрометированных аккаунтов, а переход по ним приводит к краже данных и потере профиля. Дизайн таких страниц тщательно копирует фирменный стиль Telegram. Кроме того, по словам Авезовой, злоумышленники всё чаще используют дипфейки — подделывают лица и голоса знакомых или сотрудников техподдержки, чтобы вызвать доверие.

Директор по развитию технологий ИИ компании Swordfish Security Юрий Шабалин подчеркнул, что киберпреступники активно применяют нейросетевые технологии. Они позволяют создавать точные копии легитимных сайтов, подделывать голоса и видео. По мере появления новых сервисов качество дипфейков растёт, и распознать их становится всё сложнее.

Член комитета Госдумы по информационной политике, информационным технологиям и связи, федеральный координатор проекта «Цифровая Россия» Антон Немкин отметил, что ситуация усугубляется снижением порога входа на киберпреступный рынок. Этому способствует рост предложения готовых инструментов для фишинговых атак и развитие рынка сбыта похищенных данных.

По мнению Немкина, борьба с подобными угрозами не ограничивается действиями государства и профильных организаций — важную роль играет цифровая грамотность самих пользователей. Чтобы снизить риски, необходимо повышать их осведомлённость о фишинговых схемах и способах защиты от них.

Вымогатель AXLocker не только шифрует файлы, но и крадет токены Discord

Читайте также