Đời sống

Cảnh báo mã độc phát tán qua email lợi dụng tập tin ".chm"

Hà Linh
ANTD.VN -  Đầu năm 2021, cơ quan chức năng phát hiện chiến dịch phát tán mã độc thông qua email hướng đến các cá nhân, cơ quan, tổ chức chính phủ.
Cảnh báo mã độc phát tán qua email lợi dụng tập tin ".chm" ảnh 1

Cẩn trọng khi mở email có dấu hiệu lạ

Bộ Thông tin và Truyền thông cho biết, Phòng Thí nghiệm trọng điểm An toàn thông tin (NLSI- Bộ Quốc phòng) thông tin, đầu năm nay, một số hòm thư cá nhân có nhận được một loạt các thư lạ có đính kèm tập tin nghi ngờ.

Qua phân tích, NLSI phát hiện đang có chiến dịch phát tán mã độc thông qua tệp tin đính kèm gửi qua thư điện tử hướng đến các cá nhân, cơ quan, tổ chức chính phủ.

Cụ thể, kẻ tấn công sử dụng một hòm thư mạo danh sau đó gửi email đính kèm tập tin nén có phần mở rộng “.zip” tới các địa chỉ email mục tiêu. Khi giải nén tập tin “.zip” sẽ thu được tập tin mã độc hại có phần mở rộng là “.chm”. Kẻ tấn công sử dụng tập tin .chm do tệp tin dạng .chm có thể nhúng mã (script) độc hại.

Khi kích hoạt tập tin độc hại “.chm”, một tập tin độc hại khác có tên “CERT.msi” từ website “w32timeslicesvc[.]net”.

Thời điểm hiện tại tệp tin này chưa có nội dung và kích thước hiện tại bằng 0 bytes. Kẻ tấn công hoàn toàn có thể thay thế tập tin này bằng một tập tin độc hại để có thể thực hiện một loạt các thủ đoạn tấn công nạn nhân ở các giai đoạn sau.

Để có thể duy trì hoạt động trên máy tính của nạn nhân, mã độc đã tạo ra một lịch chạy khởi động cùng máy tính. Ngoài ra mã độc còn đánh cắp các thông tin về máy tính người dùng bao gồm tên máy tính, tên người dùng và gửi đến địa chỉ “w32timeslicesvc[.]net”.

Để phòng tránh, NLSI khuyến cáo người dùng không nên mở các email từ các địa chỉ lạ, không tải xuống và mở tập tin đính kèm đáng ngờ.

Đối với người quản trị, cần thiết lập các chính sách trên các thiết bị bảo mật để ngăn chặn các kết nối tới tên miền “w32timeslicesvc[.]net”; kiểm tra, rà soát các máy tính có kết nối tới tên miền trên; kiểm tra danh mục lịch (Task scheduler) của máy tính và loại bỏ các thiết lập lịch lạ.

Để nhận được hỗ trợ về mã độc, người dùng có thể liên hệ với Phòng Thí nghiệm trọng điểm An toàn thông tin, Số 3 ngõ Phan Chu Trinh, Hoàn Kiếm, Hà Nội. Điện thoại: 069.518723.

TỪ KHÓA:

TIN CÙNG CHUYÊN MỤC