Nova onda de ataques de phishing do RAT Konni
Ativo desde pelo menos 2014, mas sem ser notado por mais de três anos, o trojan de acesso remoto Konni (RAT) está agora de volta à ação, conforme o recente alerta da Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA).
Nova onda de ataques de
Uma nova onda de ataques de phishing foi encontrada entregando o malware Konni RAT em agosto de 2020 .
- O malware agora pode registrar pressionamentos de teclas, roubar arquivos, capturar imagens, coletar informações sobre o sistema infectado e roubar credenciais dos principais navegadores.
- As mensagens de phishing usam documentos do Microsoft Word como uma arma contendo código de macro malicioso do Visual Basic Application (VBA) para implantar malware KONNI.
- O código malicioso pode alterar a cor da fonte de cinza claro para preto (para induzir a vítima a habilitar o conteúdo), verificar se o sistema operacional Windows é uma versão de 32 ou 64 bits e executar comandos para baixar arquivos adicionais.
O aviso CISA
A CISA publicou um alerta relacionado a ataques que entregam o Trojan Konni.
- Eles também publicaram uma lista de técnicas MITRE ATT & CK associadas às assinaturas Konni RAT e Snort para uso na detecção de exploits de malware Konni.
- Ele recomendou que usuários e administradores sigam as práticas recomendadas para fortalecer a postura de segurança dos sistemas de suas organizações.
A história de fundo
A partir da observação dos ataques anteriores, os autores do malware Konni parecem ter uma inclinação para a Coreia do Norte.
- Em janeiro de 2020 , o malware Konni e outros malwares associados foram encontrados visando uma agência do governo dos Estados Unidos em relação às questões contínuas de relações geopolíticas em torno da Coreia do Norte.
- Em 2017 , Konni lançou campanhas para as Nações Unidas, UNICEF e embaixadas , todas ligadas à Coreia do Norte. Eles também usaram malware e iscas da Inexsmar com base em vários casos da Coréia do Norte para visar organizações na Coreia do Norte.
- Os pesquisadores encontraram links entre o malware KONNI e o malware NOKKI em outubro de 2018. Eles também encontraram um link entre os ataques KONNI e as campanhas do DarkHotel contra a Coreia do Norte em agosto de 2017.
Em essência
Além das organizações baseadas nos EUA, o malware Konni parece ser voltado para a espionagem contra alvos que estariam interessados nos assuntos norte-coreanos. No futuro próximo, os pesquisadores esperam que possa haver novas associações com outras famílias de malware, ou até mesmo novas variantes de KONNI surgindo com recursos adicionais, bem como melhores maneiras de evitar a detecção.
Fonte: https://cyware.com/news/new-wave-of-phishing-attacks-dropshipping-the-konni-rat-cf1038bb