TỪ LỜI MỜI HỌP ĐẾN MÃ ĐỘC: KHI TỆP LỊCH TRỞ THÀNH CỬA SAU TẤN CÔNG EMAIL

• 13/01/2026

Một xu hướng tấn công mạng mới đang âm thầm lan rộng khi tin tặc lợi dụng tệp lịch iCalendar (.ics) – vốn được xem là vô hại – để phát tán mã độc, đánh cắp dữ liệu và thậm chí khai thác các lỗ hổng zero-day. Theo các hãng bảo mật quốc tế, hình thức này đang có khả năng vượt qua phần lớn hệ thống bảo mật email truyền thống.

                                                           (Hình minh họa – nguồn: Cyber Security News)

Tệp .ics tưởng an toàn nhưng lại trở thành công cụ tấn công

Tệp lịch .ics là định dạng phổ biến dùng để chia sẻ lịch họp trên Outlook, Google Calendar hay Apple iCal. Do chỉ chứa văn bản, loại tệp này thường không bị hệ thống bảo mật kiểm tra sâu.

Chính điểm “đơn giản” đó lại bị tin tặc khai thác. Chúng chèn liên kết độc hại, mã nhị phân ẩn hoặc payload được mã hóa vào phần mô tả, địa điểm hoặc tệp đính kèm trong lời mời họp. Khi người dùng mở hoặc chấp nhận sự kiện, quá trình tấn công bắt đầu mà không cần tải file thực thi.

Theo Sublime Security, Cymulate và NCC Group, tấn công qua tệp .ics hiện đã trở thành hình thức phishing qua email phổ biến thứ ba, với khoảng 59% tệp độc hại vượt qua thành công cổng bảo mật email (SEG).

Vì sao tệp lịch dễ vượt qua bảo mật email?

Phần lớn hệ thống bảo mật tập trung vào các định dạng rủi ro cao như .exe, file nén hoặc tài liệu có macro. Trong khi đó, tệp .ics chỉ được gắn nhãn text/calendar và thường không bị phân tích hành vi.

Đáng lo ngại hơn, nhiều nền tảng lịch như Outlook hoặc Google Calendar có cơ chế tự động xử lý lời mời, tạo sự kiện nháp ngay cả khi email bị đưa vào thư rác. Điều này tạo ra tình huống nguy hiểm: email bị chặn nhưng sự kiện độc hại vẫn tồn tại trong lịch người dùng.

Một số công cụ bảo mật ghi nhận hiện tượng hai điểm xâm nhập song song: email và lịch – khiến nguy cơ bị lừa đảo tăng mạnh.

                                                             (Hình minh họa – nguồn: Microsoft)

Các chiến dịch tấn công thực tế từ 2024–2025

Trong thời gian gần đây, hàng loạt chiến dịch tấn công tinh vi đã được ghi nhận:

Khai thác lỗ hổng Zimbra (CVE-2025-27915)

Tháng 6/2025, lỗ hổng zero-day trong Zimbra Collaboration Suite cho phép thực thi JavaScript khi mở tệp .ics. Chiến dịch nhắm vào các tổ chức quân sự Brazil, sử dụng email giả danh cơ quan ngoại giao và payload base64 để đánh cắp thông tin đăng nhập, vượt qua xác thực hai lớp.

APT41 lợi dụng Google Calendar làm máy chủ điều khiển

Một số báo cáo cho thấy nhóm APT41 đã sử dụng Google Calendar để giấu lệnh điều khiển trong phần mô tả sự kiện. Mã độc được cài thông qua tệp .LNK ngụy trang dưới dạng PDF.

Chiến dịch 4.000 lời mời lịch giả mạo

Check Point phát hiện hơn 300 tổ chức bị tấn công thông qua lời mời họp giả danh người quen. Liên kết trong tệp .ics dẫn đến trang giả mạo ngân hàng và sàn tiền điện tử nhằm đánh cắp thông tin tài chính.

Outlook bị lợi dụng qua DDE và CVE-2025-32705

Một số lỗ hổng cho phép thực thi mã chỉ với thao tác xác nhận lời mời, dẫn đến rò rỉ mật khẩu NTLM hoặc tấn công thực thi mã từ xa.

Doanh nghiệp và người dùng cần làm gì?

Các chuyên gia cảnh báo đã đến lúc coi tệp .ics là định dạng có rủi ro cao. Doanh nghiệp cần:

• Vô hiệu hóa tính năng tự động thêm sự kiện từ người gửi lạ

• Buộc hệ thống email quét sâu tệp .ics và các trường ATTACH

• Giám sát bất thường trong hệ thống lịch

• Đào tạo nhân viên về phishing qua lời mời họp

Người dùng cá nhân cũng cần cảnh giác, không mở tệp lịch từ nguồn không xác định, không nhấp liên kết trong lời mời không mong đợi và luôn kiểm tra kỹ người gửi.

Kết luận

Tấn công qua tệp .ics đang bùng nổ vì đánh trúng hai điểm yếu lớn: niềm tin của người dùng vào các nền tảng quen thuộc và sự chủ quan của hệ thống bảo mật. Với tỷ lệ vượt qua hàng rào bảo vệ gần 60% và ngày càng nhiều chiến dịch nhắm vào tổ chức tài chính, quân sự và chính phủ, tệp lịch đang trở thành công cụ tấn công mới đầy nguy hiểm.

Nguồn tham khảo: Rapid7, Forbes