ด้าย: 
Subscribeเตือนภัย ระวังอีเมลปลอม ข้อมูลด่วน Coronavirus โดย ไทยเซิร์ตได้รับรายงานการแพร่กระจายมัลแวร์ผ่านอีเมลโดยอ้างว่ากระทรวงสาธารณสุขส่งข้อมูลที่เกี่ยวข้องกับไวรัสโคโรน่า ในชื่อหัวข้อ ข้อมูลด่วน CoronaVirus” โดยผู้ส่งใช้ที่อยู่อีเมล [email protected] ทำให้ดูว่าเป็นอีเมลจากกระทรวงสาธารณสุข ซึ่งดูน่าเชื่อถือทำให้หลงเชื่อได้ง่าย
เนื้อหาในอีเมลเป็นภาษาไทยแต่ลักษณะคล้ายเป็นการใช้โปรแกรมแปลภาษา ในอีเมลมีการแนบโลโก้ของสถาบันวิจัยวิทยาศาสตร์สาธารณสุขและโลโก้ของกระทรวงสาธารณสุข พร้อมกับมีไฟล์แนบชื่อ “กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz”
ตัวไฟล์ .gz ก็เหมือนไฟล์ zip หรือไฟล์ rar ต้องทำการ extract แตกไฟล์ออกมา โดยแตกไฟล์แล้วพบว่าเป็นข้อมูล .exe ณ ขณะที่ได้รับรายงานพบว่าโปรแกรมแอนติไวรัสจำนวนหนึ่งที่ยังไม่สามารถตรวจจับไฟล์นี้ได้ และปัจจุบัน ThaiCERT อยู่ระหว่างการวิเคราะห์มัลแวร์ดังกล่าว ซึ่งจะมีการอัปเดตข้อมูลให้ทราบเพิ่มเติมในภายหลัง
ข้อแนะนำเบื้องต้นจาก ThaiCERT
- เตือนภัย ระวังอีเมลปลอม ข้อมูลด่วน Coronavirus หากได้รับอีเมลนี้อย่าคลิก โดยเฉพาะไฟล์แนบ ไม่ควรเปิดเด็ดขาด และควรแจ้งรายงานให้กับผู้ดูแลระบบทราบ หากเผลอเปิดไฟล์ไปแล้วควรปิดเครื่องและแจ้งผู้ดูแลระบบทันทีเพื่อตรวจสอบและยับยั้งความเสียหาย
- ผู้ดูแลระบบควรตรวจสอบว่ามีการส่งอีเมลลักษณะนี้มาที่หน่วยงานหรือไม่ หากพบให้รีบดำเนินการลบอีเมลดังกล่าวทันที และพิจารณาข้อมูล IOC ด้านล่างเพื่อยืนยันความผิดปกติบนระบบเครือข่าย หากพบการเชื่อมต่อที่ต้องสงสัย ควรปิดกั้นการเชื่อมต่อของคอมพิวเตอร์ดังกล่าวออกจากระบบเครือข่ายเป็นการชั่วคราว เพื่อให้ผู้ดูแลระบบเข้าดำเนินการตรวจสอบและรับมือสถานการณ์
ข้อมูล IOC ของไฟล์มัลแวร์ ทางด้านล่าง
*ข้อมูล IOC ของการเชื่อมต่อเครือข่าย ภายในไฟล์ กระทรวงสาธารณสุขโคโรนาข้อมูลไวรัสด่วน2020.gz ที่แนบกับอีเมล
โดเมน
2020logs.duckdns.org
alili2020.ddns.net
ไอพี:พอร์ต
192.169.69.25:5626
ที่มา : https://www.it24hrs.com/2020/phishin...id-19-malware/
ฟอรัมฟอเร็กซ์ประเทศไทย
