Вымогатель AXLocker не только шифрует файлы, но и крадет токены Discord

Татьяна Никитина 21 Ноября 2022 - 14:35

Домашние пользователи

...

В прошлом месяце исследователи из Cyble обнаружили три новых шифровальщика для Windows, активно продвигаемых на хакерских форумах. Наиболее интересным оказался AXLocker: он умеет воровать токены аутентификации Discord, позволяя захватить аккаунт жертвы и использовать его для проведения других вредоносных атак.

Анализ показал, что как шифровальщик AXLocker мало примечателен. При запуске 32-битный NET-бинарник пытается скрыть свой файл, изменяя его свойства, а затем приступает к поиску и преобразованию данных на диске C:\, оперируя списком расширений и папок-исключений.

Шифрование осуществляется с использованием алгоритма AES, никаких расширений к итоговым файлам не добавляется. По завершении процесса вредонос отправляет на C2-сервер ID жертвы, системные данные и украденные токены Discord.

Для поиска токенов AXLocker сканирует следующие папки:

Discord\Local Storage\leveldb,
discordcanary\Local Storage\leveldb,
discordptb\leveldb,
Opera Software\Opera Stable\Local Storage\leveldb,
Google\Chrome\User Data\\Default\Local Storage\leveldb,
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb,
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb.

Извлечение токенов из локальных хранилищ осуществляется с помощью регулярных выражений (regex). На финальной стадии жертве отображается всплывающее окно с сообщением о случившемся и призывом связаться с авторами атаки в течение 48 часов. Сумма выкупа заранее не оговорена.

Атаки AXLocker, по всей видимости, проводятся массово. Жертвам рекомендуется незамедлительно сменить пароль к Discord, чтобы аннулировать украденный токен.

Вымогатель Octocrypt написан на Go и доступен в виде билдера 64-битных бинарников, который предоставляется в пользование как услуга (бизнес-модель RaaS, Ransomware-as-a-Service). Данные жертв шифруются по AES-256 в режиме CTR, к обработанным файлам добавляется расширение .octo; выкуп взимается в монеро.

Третий шифровальщик, Alice, тоже рекламируется как RaaS-сервис с возможностью кастомизации шифратора, декриптора и записки с требованием выкупа. К зашифрованным файлам добавляется расширение .alice.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 15 Сентября 2025 - 13:46

Соответствие законодательству РФ Общее

Минцифры РФ готовит список юрлиц, которым разрешено проводить обзвоны

Блокировка массовых звонков в России в соответствии с новым законодательством затруднила работу легитимных организаций. Для решения проблемы Минцифры решило составить список юрлиц, которым для обзвона не требуется согласие абонентов.

Недавно вступившие в силу поправки к российским законам были приняты в рамках борьбы с телефонным мошенничеством и обязывают операторов связи маркировать звонки от компаний и ИП, а также блокировать такие вызовы на основании запретов, выставленных клиентами.

В результате многие поставщики услуг, в том числе из сферы финансов, столкнулись с ограничениями по связи с клиентами. Проблемы возникли и у исследовательских организаций.

Социологи из ВЦИОМ и «Группы 7/89» (в ассоциацию входят 46 исследовательских организаций из 30+ городов) даже составили петицию президенту России, указав, что новые нормы ставят под угрозу их работу, важнейшая часть которой — опросы населения по телефону.

Как выяснили «Ведомости», в настоящее время из-под блокировки выведен госсектор. Для остальных заинтересованных лиц Минцифры составит белый список — после согласования с соответствующими федеральными органами исполнительной власти.

К сожалению, в обновленном законе «О связи» определение «массовые звонки» отсутствует, поэтому операторы принимают решения о блокировке по показаниям своих антифрод-систем.

Основанием для законного обзвона может стать договор инициатора с оператором связи, а также явно выраженное согласие абонентов.