Специалисты Cyble в октябре выявили 3 дополнительные шифровальщика для системы Windows, которые активно распространяются на тематических форумах хакеров. Среди них самым интересным является вымогатель AXLocker, который может похищать токены Discord и таким образом получать доступ к аккаунту человека, а затем задействовать его в различных кибератаках.
Проанализировав данный вредонос, специалисты пришли к выводу, что в роли шифровальщика он не особо интересен.
В процессе шифровки применяется алгоритм AES. При этом нет добавления к итоговым файлам каких-либо расширений. Как только закончится данная процедура, вымогатель на ID человека отправляет ранее похищенные токены и данные системы.
Вредонос, чтобы найти токены, сканирует определенные папки, среди которых Discord\Local Storage\leveldb, Opera Software\Opera Stable\Local Storage\leveldb и другие.
Токены достаются из хранилищ с использованием regex. В конце процесса человек видит на экране окно, где отображается информация о произошедшем и сообщении о необходимости связаться на протяжении двух суток с киберпреступниками, атакующими его. Какую сумму придется заплатить жертве, не говорится.
Вероятнее всего, данные таки носят массовый характер. Для аннуляции похищенного токена Discord специалисты советуют сразу же поменять пароль.
Еще два вымогателя называются Octocrypt и Alice.