Konni RAT ruba dati tramite macro malevole Word

I ricercatori di sicurezza informatica di FortiGuard Labs hanno scoperto una nuova campagna malspam, che prenderebbe di mira i sistemi Windows tramite documenti Word contenenti macro malevoli che se eseguite avviano una catena d’infezione per il rilascio del trojan di accesso remoto chiamato Konni RAT.

Konni RAT

Secondo il post sul blog di FortiGuard Labs , Konni RAT può estrarre informazioni ed eseguire comandi non autorizzati sui dispositivi infetti. Una volta installato, potrebbe consentire il controllo da remoto del sistema compromesso per rubare dati sensibili e distribuire ulteriori malware.

La catena d’infezione

Il documento Word dannoso analizzato è scritto in lingua russa e si presenta come un articolo sullo stato di avanzamento delle operazioni militari speciali per indurre gli utenti ad aprirlo.

Fonte FortiGuard Labs

All’apertura del documento Word, un messaggio richiede all’utente di abilitare il contenuto, attivando uno script VBA che avvia il download e l’esecuzione di uno script batch “check.bat”, deputato ad effettuare diversi controlli, tra cui la verifica della presenza di una sessione di connessione remota, l’identificazione della versione del S.O. Windows e il controllo dell’architettura di sistema.

Successivamente, lo script esegue la libreria “wpns.dll” aggirando l’UAC (User Account Control) e sfrutta l’utilità legittima di Windows “wusa.exe” per avviare un comando con privilegi elevati.

In oltre lo script batch “netpp.bat” eseguito con privilegi elevati interrompe il servizio “netpp”, copia i file necessari nella directory “System32” e crea un servizio denominato “netpp” che si avvia automaticamente all’avvio del sistema. Il malware inizia in tal modo l’esecuzione recuperando un elenco di processi attivi sul sistema e, dopo aver eseguito la compressione e la crittografia, inviando i dati al server C2.

Conclusioni

Per proteggersi da minacce simili si consiglia di evitare di aprire allegati e-mail provenienti da mittenti sconosciuti con oggetti sospetti, oltre che disabilitare le macro nei documenti di Word, qualora non si conosca l’origine e lo scopo del documento e aggiornare il sistema operativo e le applicazioni alle versioni più recenti per sanare eventuali vulnerabilità di sicurezza note.

Al momento i campioni malware vengono riconosciuti da poco più di 1/3 dei principali security vendors. Altri IoC si trovano sul rapporto.

Su Salvatore Lombardo 166 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.