Đừng coi thường tệp .ics, thủ đoạn hacker đang dùng nhiều nhất

[MinhSec]

Trong thời gian gần đây, tệp iCalendar (.ics) vốn chỉ là định dạng văn bản thuần túy dùng để gửi lời mời họp lại trở thành một trong những con đường tấn công tinh vi nhất, vượt qua hầu hết các biện pháp bảo mật email truyền thống. Nhờ tính “vô hại” và mức độ tin cậy cao, tệp lịch đang bị khai thác để lừa người dùng bấm vào liên kết giả mạo, tải phần mềm độc hại hoặc kích hoạt các lỗ hổng zero-day.

Theo nhiều báo cáo, lừa đảo qua lịch hiện đã trở thành hình thức tấn công kỹ thuật xã hội qua email phổ biến thứ ba, với tỷ lệ vượt qua Gateway bảo mật email lên tới 59%, ảnh hưởng đến hàng trăm tổ chức trên toàn cầu.

Vì sao tệp lịch trở thành lỗ hổng vàng cho hacker?​

Định dạng iCalendar (chuẩn RFC 5545) được thiết kế để hoạt động trên mọi nền tảng như Outlook, Google Calendar hay Apple Calendar. Cấu trúc đơn giản của tệp .ics giúp quá trình lên lịch diễn ra mượt mà, nhưng cũng mở ra các điểm yếu mà công cụ bảo mật khó kiểm tra sâu.

Các trường phổ biến như SUMMARY, DESCRIPTION, LOCATION hay ATTACH có thể bị hacker biến thành nơi chứa URL độc hại hoặc tệp đính kèm mã hóa base64. Với thuộc tính ATTACH, kẻ tấn công thậm chí có thể nhúng trực tiếp phần mềm độc hại vào tệp lịch mà không kích hoạt cảnh báo của phần mềm diệt virus.

Nghiên cứu của NCC Group cho thấy:
– Tệp đính kèm từ đường dẫn URI có thể tự động nhúng vào sự kiện khi được chuyển tiếp.
– Các ứng dụng lịch có thể tự động tạo sự kiện tạm thời mà người dùng không hề mở email gốc.
– Liên kết độc hại ẩn trong giao diện lịch trông giống sự kiện họp hợp lệ, khiến người dùng dễ tin tưởng và nhấp vào.

Những yếu tố này làm .ics trở thành một “kênh tàng hình”, nơi sự kiện độc hại tồn tại lâu hơn email và đôi khi vẫn hiển thị ngay cả khi email gốc đã bị cách ly. Đây là lý do tệp lịch đạt tỷ lệ xâm nhập 59 – 68%, cao hơn nhiều phương thức tấn công khác.

Các chiến dịch tấn công nổi bật: Từ lỗ hổng zero-day đến lạm dụng Google Calendar​

Trong năm 2024 – 2025, nhiều nhóm tin tặc đã khai thác triệt để định dạng .ics trong các chiến dịch có thật:

• Lỗ hổng Zero-Day Zimbra (CVE-2025-27915) Kẻ tấn công nhúng hơn 100 KB mã JavaScript mã hóa base64 vào tệp lịch để đánh cắp dữ liệu, chiếm quyền truy cập email và thu thập mã xác thực hai yếu tố. Chiến dịch nhắm vào nhiều tổ chức quân sự.
• Giả mạo Google Calendar gửi hơn 4.000 lời mời độc hại Lời mời được gửi “như thể” từ Google, vượt qua SPF – DKIM – DMARC và dẫn nạn nhân đến các trang đăng nhập giả mạo.
• APT41 lạm dụng Google Calendar làm kênh chỉ huy kiểm soát (C2) Phần mềm độc hại gửi và nhận lệnh thông qua các sự kiện Calendar có ngày cố định. Nhờ ẩn trong lưu lượng hợp pháp của Google, hoạt động C2 rất khó bị phát hiện.
• Khai thác DDE trong Microsoft OutlookKẻ tấn công nhúng mã thực thi vào phần mô tả sự kiện. Chỉ cần người dùng mở lời mời và nhấn “Yes”, mã độc có thể chạy ngay lập tức.(cybersecuritynews.com)

Hackers Weaponizing Calendar Files as New Attack Vector Bypassing Traditional Email Defenses

A new meeting pops up in your Google Calendar or Outlook, with a subject like “Security Update Briefing,” “Your Account Verification Meeting,” or “Important Notice Regarding Benefits.” You might think you overlooked the email invite amid a busy inbox and click “Yes” to accept, unaware of the risk.

cybersecuritynews.com

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview