KONNI: złośliwy malware powraca
24 sierpnia 2020
Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) wydała ostrzeżenie przed kampanią phishingową używaną do infekowania komputerów złośliwym oprogramowaniem KONNI.
CISA ostrzega przed wiadomościami phishingowymi z załączonymi dokumentami Microsoft Word, które zawierają złośliwy kod makra Visual Basic Application (VBA). Po uruchomieniu makra kod pobiera i instaluje malware KONNI. Microsoft Word zawiera funkcje automatyzacji makr, które znajdują szereg zastosowań. Niestety, bardzo chętnie wykorzystują je również hakerzy, aby uzyskać zdalny dostęp do atakowanych komputerów. Malware KONNI pełni rolę narzędzia do zdalnej administracji i służy do kradzieży plików, robienia zrzutów ekranu, monitorowania i rejestrowania klawiszy oraz infekowania innych hostów w tej samej sieci.
– Najlepszym sposobem ochrony przed tego typu atakami jest zainstalowanie i aktualizowanie rozwiązania zabezpieczającego. Nie należy też otwierać załączników z nieznanych źródeł i domyślnie wyłączać funkcję Makro. Warto podkreślić, że w tym przypadku mamy do czynienia z bardzo groźnym malwarem, który wcześniej był wykorzystywany do ataków ukierunkowanych – tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Malware KONNI RAT jest aktywny od co najmniej 2014 roku. To złośliwe oprogramowanie pozostawało nie wykryte przez przez trzy lata. Odkryli je dopiero w 2017 roku naukowcy z zespołu Cisco Talos.
CISA informuje w swoim poradniku w jaki sposób przebiega infekcja komputera ofiary. Makro VBA używa narzędzia bazy danych certyfikatów CertUtil do pobierania plików zdalnych z Uniform Resource Locator. Narzędzie zawiera też funkcję dekodowania plików zakodowanych w standardzie base64. Wiersz polecenia po kryjomu kopiuje certutil.exe do katalogu tymczasowego i zmienia jego nazwę, aby uniknąć wykrycia. Następnie haker pobiera plik tekstowy ze zdalnego zasobu zawierający ciąg zakodowany w base64, który jest dekodowany przez CertUtil i zapisywany jako plik wsadowy (.BAT). Ostatecznie napastnik usuwa plik tekstowy z katalogu tymczasowego i wykonuje plik .BAT.