Cụ thể, kẻ tấn công sử dụng một hòm thư mạo danh sau đó gửi email đính kèm tập tin nén có phần mở rộng “.zip” tới các địa chỉ email mục tiêu. Khi giải nén tập tin “.zip” sẽ thu được tập tin mã độc hại có phần mở rộng là “.chm”. Kẻ tấn công sử dụng tập tin .chm do tệp tin dạng .chm có thể nhúng mã (script) độc hại.
Khi kích hoạt tập tin độc hại “.chm”, một tập tin độc hại khác có tên “CERT.msi” từ website “w32timeslicesvc[.]net”. Thời điểm hiện tại tệp tin này chưa có nội dung và kích thước hiện tại bằng 0 bytes, kẻ tấn công hoàn toàn có thể thay thế tập tin này bằng một tập tin độc hại để có thể thực hiện một loạt các thủ đoạn tấn công nạn nhân ở các giai đoạn sau.
Để có thể duy trì hoạt động trên máy tính của nạn nhân, mã độc đã tạo ra một lịch chạy khởi động cùng máy tính. Ngoài ra mã độc còn đánh cắp các thông tin về máy tính người dùng bao gồm tên máy tính, tên người dùng và gửi đến địa chỉ “w32timeslicesvc[.]net”.
Để phòng tránh, người dùng không nên mở các email từ các địa chỉ lạ, không tải xuống và mở tập tin đính kèm đáng ngờ. Đối với người quản trị, cần thiết lập các chính sách trên các thiết bị bảo mật để ngăn chặn các kết nối tới tên miền “w32timeslicesvc[.]net”; kiểm tra, rà soát các máy tính có kết nối tới tên miền trên; kiểm tra danh mục lịch (Task scheduler) của máy tính và loại bỏ các thiết lập lịch lạ.
IoC:
- Sha 256 tập tin “.zip”:
8d634191bde85ea7b62a104f4537ef9b255d9fa99b3197a07fbc81eea9c320ab
- Sha 256 tập tin “.chm”:
3f7747266721c8494f8722a8fa9c20368c714002db3b3741fd807e665c8c2ba7
- Tên miền độc hại: “w32timeslicesvc[.]net”
Để nhận được hỗ trợ về mã độc, người dùng có thể liên hệ với Phòng Thí nghiệm trọng điểm An toàn thông tin, Số 3 ngõ Phan Chu Trinh, Hoàn Kiếm, Hà Nội. Điện thoại: 069.518723