Gli esperti di Securonix hanno scoperto un attacco di phishing contro varie aziende europee. Gli autori sono il gruppo nordcoreano APT37 che hanno distribuito il malware Konni, un RAT (Remote Access Trojan) in grado di eseguire una serie di attività pericolose sul computer della vittima. Per bloccare la fonte iniziale dell’infezione è necessario utilizzare una soluzione di sicurezza efficace (come quelle di Bitdefender) e adottare altre misure preventive.
Konni: attacco in quattro fasi
L’attacco inizia con l’invio di un’email di phishing. L’allegato è un archivio compresso contenente un documento Word e un file .lnk. Se la vittima clicca sul link viene eseguito uno script PowerShell nascosto nel file Word che stabilisce la comunicazione con il server C2C (command-and-control). Lo script scarica quindi un altro file Word (che viene aperto sul computer) e un file VBS (Visual Basic Script) che viene eseguito in background, dando il via alla seconda fase dell’infezione.
Il file VBS crea un’attività pianificata (denominata Office Update) e stabilisce la comunicazione remota che consente ai cybercriminali di controllare il computer. A questo punto, il RAT è già attivo e inizia le sue attività: cattura screenshot, estrae password dai browser e lancia una shell interattiva che può eseguire comandi ogni 10 secondi. Nell’ultima fase vengono scaricati altri file di supporto per Konni, alcuni dei quali servono per stabilire la persistenza del malware.
Securonix suggerisce di evitare l’apertura di allegati sospetti (eventualmente si possono bloccare determinati tipi di file), installare gli aggiornamenti di sicurezza del sistema operativo e usare un antivirus.
Ti potrebbe interessare
25 lug 2022