Konni RAT explota documentos de Word para robar datos de Windows

Iniciado por AXCESS, Noviembre 22, 2023, 05:42:09 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de FortiGuard Labs han descubierto una nueva campaña de malware denominada "Konni", que apunta a sistemas Windows a través de documentos de Word que contienen macros maliciosas. Cuando usuarios desprevenidos abren o descargan el documento, se ejecuta un troyano de acceso remoto (RAT) llamado Konni.

Konni RAT es un malware sofisticado que incorpora mecanismos de autodefensa, con capacidades que incluyen el robo de credenciales de inicio de sesión, la ejecución remota de comandos y la capacidad de ejecutar comandos con privilegios elevados. Además, puede descargar y cargar archivos.

Vale la pena señalar que el Konni RAT es conocido por haber apuntado anteriormente a Rusia. En particular, se trataba del mismo malware utilizado contra Corea del Norte tras sus pruebas de misiles en agosto de 2017.

En cuanto a la última campaña, el documento malicioso de Word está escrito en ruso y se distribuye como un archivo legítimo, como facturas, contratos o solicitudes de empleo, para engañar a los usuarios para que los abran.

Aunque el documento se creó en septiembre de 2023, la telemetría interna de FortiGuard Labs muestra que el servidor C2 de la campaña permanece activo. Esto significa que la campaña continúa y se están infectando nuevas víctimas. Esta actividad continua muestra la naturaleza persistente de la campaña de Konni.

Los investigadores observaron que un "actor de amenazas sofisticado" ha empleado un conjunto de herramientas avanzado dentro de un documento de Word utilizando "scripts por lotes y archivos DLL". La carga útil contiene una comunicación cifrada de derivación UAC con un servidor C2, probablemente para permitir al actor ejecutar comandos privilegiados.

Al abrir el documento de Word, un mensaje solicita al usuario que habilite el contenido, lo que activa un script VBA. Este script inicia la descarga y ejecución de un script por lotes 'check.bat'. El script 'check.bat' realiza varias comprobaciones, incluida la verificación de la presencia de una sesión de conexión remota, la identificación de la versión del sistema operativo Windows y la verificación de la arquitectura del sistema.

Posteriormente, el script ejecuta la biblioteca "wpns.dll", omitiendo UAC (Control de cuentas de usuario) y explota la utilidad legítima de Windows "wusa.exe" para iniciar un comando con privilegios elevados.

Luego, ejecuta el script por lotes 'netpp.bat' con privilegios elevados heredados. El script detiene el servicio "netpp", copia los archivos necesarios en el directorio "System32" y crea un servicio llamado "netpp" que se inicia automáticamente al iniciar el sistema. El malware comienza a ejecutarse después de agregar entradas de registro e iniciar el servicio "netpp".

Según la publicación del blog de FortiGuard Labs, Konni RAT puede extraer información y ejecutar comandos en dispositivos infectados. Una vez instalado, permite a los atacantes controlar el sistema infectado de forma remota para robar datos confidenciales, implementar malware adicional o realizar actividades no autorizadas.

El malware obtiene una lista de procesos activos en el sistema y, después de realizar compresión y cifrado, envía los datos al servidor C2. También descarga una carga útil o un comando del servidor C2 enviando una solicitud HTTP. Cuando recibe una respuesta, extrae y descifra los datos, los almacena como un archivo temporal y ejecuta el comando cmd para expandir la carga útil e iniciar acciones adicionales.

Los últimos hallazgos no deberían sorprender, considerando que, a partir de 2022, Microsoft Office Suite sigue siendo el conjunto de herramientas más explotado por los piratas informáticos para difundir malware.

Se ha observado que la campaña de Konni se dirige a personas y organizaciones de todo el mundo, en particular aquellas de Oriente Medio y el Norte de África. Para protegerse de la campaña Konni y ataques de malware similares, evite abrir archivos adjuntos de correo electrónico de remitentes desconocidos o correos electrónicos con asuntos sospechosos.

Además, desactive las macros en documentos de Word y habilítelas sólo cuando conozca el origen y el propósito del documento. Por último, asegúrese de que su sistema operativo y sus aplicaciones estén actualizados a las últimas versiones para abordar las vulnerabilidades de seguridad conocidas.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta