KONNI: złośliwy malware powraca

Adam D

24 sierpnia 2020

Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie przed kampanią phishingową używaną do infekowania komputerów złośliwym oprogramowaniem KONNI.

E-Mail-concept-512980383_5616x3744-990x660

CISA ostrzega przed wiadomościami phishingowymi z załączonymi dokumentami Microsoft Word, które zawierają złośliwy kod makra Visual Basic Application (VBA). Po uruchomieniu makra kod pobiera i instaluje malware KONNI. Microsoft Word zawiera funkcje automatyzacji makr, które znajdują szereg zastosowań. Niestety, bardzo chętnie wykorzystują je również hakerzy, aby uzyskać zdalny dostęp do atakowanych komputerów. Malware KONNI pełni rolę narzędzia do zdalnej administracji i służy do kradzieży plików, robienia zrzutów ekranu, monitorowania i rejestrowania klawiszy oraz infekowania innych hostów w tej samej sieci.

– Najlepszym sposobem ochrony przed tego typu atakami jest zainstalowanie i aktualizowanie rozwiązania zabezpieczającego. Nie należy też otwierać załączników z nieznanych źródeł i domyślnie wyłączać funkcję Makro. Warto podkreślić, że w tym przypadku mamy do czynienia z bardzo groźnym malwarem, który wcześniej był wykorzystywany do ataków ukierunkowanych – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Malware KONNI RAT jest aktywny od co najmniej 2014 roku. To złośliwe oprogramowanie pozostawało nie wykryte przez przez trzy lata. Odkryli je dopiero w 2017 roku naukowcy z zespołu Cisco Talos.

Nagradzany antywirus Bitdefender

Chroń wszystkie swoje urządzenia z Bitdefender Family Pack 2021, który zapewnia najlepszą ochronę przed zagrożeniami internetowymi, bez spowalniania zasobów systemu. Produkt nagradzany przez AV-Comparatives i nagrodzony przez AV-TEST za Najlepszą Ochronę i Najlepszą Wydajność.

Bitdefender Family Pack:Zobacz produkt

CISA informuje w swoim poradniku w jaki sposób przebiega infekcja komputera ofiary. Makro VBA używa narzędzia bazy danych certyfikatów CertUtil do pobierania plików zdalnych z Uniform Resource Locator. Narzędzie zawiera też funkcję dekodowania plików zakodowanych w standardzie base64. Wiersz polecenia po kryjomu kopiuje certutil.exe do katalogu tymczasowego i zmienia jego nazwę, aby uniknąć wykrycia. Następnie haker pobiera plik tekstowy ze zdalnego zasobu zawierający ciąg zakodowany w base64, który jest dekodowany przez CertUtil i zapisywany jako plik wsadowy (.BAT). Ostatecznie napastnik usuwa plik tekstowy z katalogu tymczasowego i wykonuje plik .BAT.

Podobne artykuły:

Air-gapped malware – jak działa złośliwe oprogramowanie bez dostępu do Internetu?

Wewnątrz wieloetapowej kampanii złośliwego oprogramowania wykorzystującej marki kryptowalut

Makrowirusy – zapomniane zagrożenie czy wciąż realne niebezpieczeństwo?

Grupa Lazarus wykorzystuje lukę zero-day w ataku na łańcuch dostaw

Autor

Adam D

Asystent ds. Serwisu i E-commerce, od ponad dwóch lat pracuję w branży IT. Do moich zadań należy wspomaganie działań na sklepie internetowym, wyszukiwanie nowinek technologicznych, wsparcie techniczne wewnątrz firmy lecz również pomoc klientom. Interesuje się grą na gitarze oraz branżą gier i działaniami policji w terenie.

Zobacz posty autora

Obecnie

Najnowsze wpisy

Social media

Artykuły które mogą Ci się spodobać

Ochrona na smartfony

Pakiety GravityZone

Dodatkowe warstwy

ㅤ

À la carte

Dostawcy usług

Webinaria i spotkania biznesowe

Szkolenia i usługi

Dlaczego Bitdefender

Informacje

Dokumenty

Kontakt