Thời gian gần đây, lực lượng an ninh mạng phát hiện nhiều tệp tin có tên như “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe”, “BÁO CÁO HỘI NGHỊ CÁN BỘ.exe”, “VĂN KIỆN ĐẠI HỘI 2025.exe”, được gửi qua email, Zalo, hoặc các nhóm làm việc trực tuyến. Các file này được ngụy trang dưới dạng tài liệu Word/PDF để đánh lừa cán bộ, công chức mở ra xem nội dung.
Qua phân tích kỹ thuật trên hệ thống ANY.RUN, mẫu tệp “DỰ THẢO NGHỊ QUYẾT ĐẠI HỘI.exe” (MD5: BB52DAE86ACA85FE38AC94F3D0C7EE5B) đã được xác định có hành vi độc hại: khi người dùng mở file, chương trình sẽ âm thầm cài mã độc, tạo kết nối đến máy chủ điều khiển ở nước ngoài (C2), chiếm quyền điều khiển máy tính, thu thập thông tin tài khoản, ghi lại thao tác bàn phím và tự động phát tán tiếp qua mạng nội bộ.
🎯 Thủ đoạn tinh vi của đối tượng là đặt tên file giống tài liệu hành chính, gắn biểu tượng Word hoặc PDF để đánh lừa người nhận. Một số email còn giả mạo địa chỉ cơ quan nhà nước, kèm chữ ký, con dấu điện tử. Khi người dùng mở file, giao diện hiển thị trắng trơn vài giây (giả vờ lỗi font), trong khi mã độc đang bí mật cài đặt nền.
🚨 HẬU QUẢ NGHIÊM TRỌNG
- Mất quyền kiểm soát máy tính, lộ tài khoản email, Zalo, văn bản mật, dữ liệu công tác.
- Lây lan trong mạng nội bộ của cơ quan, gây nguy cơ rò rỉ dữ liệu diện rộng.
- Tin tặc có thể sử dụng quyền truy cập đó để cài thêm ransomware, chiếm quyền điều khiển hệ thống, hoặc đánh cắp tài liệu mật.
✅ HƯỚNG DẪN PHÒNG NGỪA
1️⃣ Tuyệt đối không mở bất kỳ file đuôi .exe nhận được qua email, Zalo, hoặc ổ USB — dù tên file giống tài liệu hành chính.
2️⃣ Kiểm tra kỹ phần đuôi file: tài liệu hợp lệ thường là .docx, .pdf, .xlsx, không bao giờ là .exe.
3️⃣ Nếu đã vô tình mở, ngắt kết nối mạng ngay, chụp lại màn hình, báo cáo cho bộ phận CNTT hoặc PA05 để hỗ trợ xử lý.
4️⃣ Cập nhật phần mềm diệt virus, Windows Defender, hệ điều hành và mật khẩu tài khoản.
5️⃣ Không chuyển tiếp, chia sẻ lại các file nghi ngờ; tránh để lây lan trong nhóm làm việc.
