Cảnh báo mã độc phát tán qua email lợi dụng tập tin ".chm"

Thứ năm, 18/02/2021 16:48

Đầu năm 2021, một số hòm thư cá nhân có nhận được một loạt các thư lạ có đính kèm tập tin nghi ngờ. Qua phân tích, Phòng Thí nghiệm trọng điểm An toàn thông tin (NLSI) phát hiện đang có chiến dịch phát tán mã độc thông qua tệp tin đính kèm gửi qua thư điện tử hướng đến các cá nhân, cơ quan, tổ chức chính phủ.

Cụ thể, kẻ tấn công sử dụng một hòm thư mạo danh sau đó gửi email đính kèm tập tin nén có phần mở rộng “.zip” tới các địa chỉ email mục tiêu. Khi giải nén tập tin “.zip” sẽ thu được tập tin mã độc hại có phần mở rộng là “.chm”. Kẻ tấn công sử dụng tập tin .chm do tệp tin dạng .chm có thể nhúng mã (script) độc hại.

Khi kích hoạt tập tin độc hại “.chm”,  một tập tin độc hại khác có tên “CERT.msi” từ website “w32timeslicesvc[.]net”. Thời điểm hiện tại tệp tin này chưa có nội dung và kích thước hiện tại bằng 0 bytes, kẻ tấn công hoàn toàn có thể thay thế tập tin này bằng một tập tin độc hại để có thể thực hiện một loạt các thủ đoạn tấn công nạn nhân ở các giai đoạn sau.

Để có thể duy trì hoạt động trên máy tính của nạn nhân, mã độc đã tạo ra một lịch chạy khởi động cùng máy tính. Ngoài ra mã độc còn đánh cắp các thông tin về máy tính người dùng bao gồm tên máy tính, tên người dùng và gửi đến địa chỉ “w32timeslicesvc[.]net”.

Để phòng tránh, người dùng không nên mở các email từ các địa chỉ lạ, không tải xuống và mở tập tin đính kèm đáng ngờ. Đối với người quản trị, cần thiết lập các chính sách trên các thiết bị bảo mật để ngăn chặn các kết nối tới tên miền “w32timeslicesvc[.]net”; kiểm tra, rà soát các máy tính có kết nối tới tên miền trên; kiểm tra danh mục lịch (Task scheduler) của máy tính và loại bỏ các thiết lập lịch lạ.

IoC:

- Sha 256 tập tin “.zip”:

8d634191bde85ea7b62a104f4537ef9b255d9fa99b3197a07fbc81eea9c320ab

- Sha 256 tập tin “.chm”:

3f7747266721c8494f8722a8fa9c20368c714002db3b3741fd807e665c8c2ba7

- Tên miền độc hại: “w32timeslicesvc[.]net”

Để nhận được hỗ trợ về mã độc, người dùng có thể liên hệ với Phòng Thí nghiệm trọng điểm An toàn thông tin, Số 3 ngõ Phan Chu Trinh, Hoàn Kiếm, Hà Nội. Điện thoại: 069.518723

banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top