เมื่อวันที่ 19 มิถุนายน 2563 ไทยเซิร์ตได้รับรายงานการโจมตีผ่านอีเมล โดยแอบอ้างว่าเป็นการแจ้งจัดส่งพัสดุจากบริษัทไปรษณีย์ไทย เนื้อหาในอีเมลเป็นภาษาไทย มีลิงก์ให้ดาวน์โหลดไฟล์จากเว็บไซต์ฝากไฟล์ โดยเป็นไฟล์ .7z ที่ข้างในมีไฟล์ .exe
จากการตรวจสอบพบว่าไฟล์ดังกล่าวเป็นมัลแวร์ที่ถูกสร้างขึ้นมาเพื่อโจมตีแบบเจาะจงเป้าหมาย ตัวมัลแวร์มีความสามารถในการขโมยข้อมูล เช่น รหัสผ่านที่ถูกบันทึกไว้ในเบราว์เซอร์และรหัสผ่านของโปรแกรมเชื่อมต่อ FTP ทั้งนี้ไทยเซิร์ตได้แจ้งประสานกับผู้ให้บริการเว็บไซต์ฝากไฟล์เพื่อขอให้ยุติการเผยแพร่ไฟล์ดังกล่าวแล้ว
ข้อแนะนำ หากได้รับอีเมลที่มีลักษณะน่าสงสัยและมีลิงก์หรือมีไฟล์แนบ ควรพิจารณาก่อนคลิกลิงก์หรือเปิดไฟล์แนบดังกล่าวเพราะอาจเป็นมัลแวร์ได้ หากได้รับอีเมลดังกล่าวผ่านระบบอีเมลขององค์กรควรแจ้งให้ผู้ดูแลระบบทราบเพื่อตรวจสอบและปิดกั้นการเข้าถึงเว็บไซต์อันตรายรวมถึงปิดกั้นการรับอีเมลจากผู้ไม่หวังดี
ข้อมูล IOC
URL: www[.]mediafire[.]com/file/ywwqvog1kn630oy/thpost_220620121201.7z/file
File name: thpost 220620121201.7z
MD5: c72a5a6d2badd3032d8cebc13c06852b
SHA-1: 3af75516d622b8e52f04fbedda9dc8dcf427d13c
SHA-256: 74034df9b5146383f6f26de5fec7b9480e4b9a786717f39a22e38805a5936c9b
File name: thpost 220620121201.exe
MD5: e7386aa09a575bd96f8ecbfeea71e38f
SHA-1: 441cdf1dedb9cbfbe6720816eb6b8e06231139b5
SHA-256: e17b5d2bf4c65ec92161c6a26c44c28a3b2793f38d2b2afe2e73bd8ebbab98ae
——————————————————————
ที่มา : ThaiCERT / 19 มิถุนายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-06-19-01.html#2020-06-19-01
