Si usted tiene un interés en el Programa de Misiles de Corea del Norte y es uno de esos curiosos para conocer las capacidades de los recientemente probados misiles de largo alcance de Corea del Norte, podría ser un objetivo de una nueva campaña de malware.

Corea del Norte afirma haber llevado a cabo la primera prueba de un misil balístico intercontinental (ICBM), el Hwasong-14, el 3 de julio, y funcionarios estadounidenses creen que el país pudo haber disparado un misil completamente nuevo que no se ha visto antes.

Ahora, apenas un día después del lanzamiento de la prueba del misil, los piratas informáticos han comenzado a utilizar las noticias para apuntar a las personas interesadas en el arsenal de misiles de Corea del Norte que ha progresado a lo largo de décadas desde cohetes de artillería cruda hasta pruebas de lo que el país reclama misiles de largo alcance que podrían alcanzar objetivos en los Estados Unidos.

Los investigadores de seguridad de Talos Intelligence han descubierto una nueva campaña de malware que comenzó el 4 de julio para atacar a las víctimas con KONNI, un desconocido Troyano de Acceso Remoto (Remote Access Trojan = RAT) que ha estado en uso durante más de tres años.

El malware KONNI es un Troyano de Acceso Remoto (RAT) diseñado para robar archivos, grabar pulsaciones de teclas, realizar capturas de pantalla, obtener la información del sistema, incluyendo el nombre del host, la dirección IP, el nombre de usuario, la versión del SO y el software instalado, además de ejecutar código malicioso en el equipo infectado.

¿Cómo funciona el Malware KONNI?

Los hackers utilizan un archivo adjunto de correo electrónico como el vector de infección inicial para entregar el troyano a través de un archivo ejecutable, que al abrirse muestra un documento de MS Office que se disfraza de artículo sobre el lanzamiento de misiles de prueba.

Sin embargo, el contenido del documento es copiado/pegado de un artículo publicado el 3 de Julio por la agencia de noticias surcoreana Yonhap.

En realidad, el ejecutable malicioso deja caer dos versiones diferentes de KONNI: event.dll y errorevent.dll.

En las versiones de 64 bits de Windows, ambos binarios se eliminan, mientras que sólo errorevent.dll se deja en las versiones de 32 bits de Windows.

El malware dejado caer se ejecuta de inmediato para “asegurarse de que el malware persista y se ejecute al reiniciar el sistema comprometido”, dicen los investigadores.

El servidor C & C se disfraza de sitio web legítimo de un club de escalada

 

El malware utiliza un nuevo servidor de Comando y Control alojado en un sitio web que se disfraza como un club de escalada legítimo, pero el sitio no contiene realmente texto real, sino el texto por defecto del CMS (Content Management System).

El tráfico de C & C del malware también tiene lugar como “solicitudes de correos HTTP a páginas web alojadas como /weget/download.php, /weget/uploadtm.php ó /weget/upload.php en el propio dominio”.

Además, el sitio web también contiene una sección de contacto con una dirección en EE.UU., pero el mapa debajo de la dirección apunta a una ubicación en Seúl, Corea del Sur.

“Los actores de la amenaza asociados con KONNI suelen utilizar documentos de señuelo relacionados con Corea del Norte, y esta campaña no es una excepción. Sin embargo, en contraste con el documento de señuelo convincente levantado de un tercero, el contenido del sitio Web señuelo alojado en el servidor CnC No parece legítimo “, concluyeron los investigadores.

“Sin embargo, este agente de la amenaza sigue estando activa y continúa desarrollando versiones actualizadas de su malware. Las organizaciones que pueden tener un interés en los contenidos de este documento del señuelo y que se utilizaron en campañas anteriores deben asegurar que están protegidas adecuadamente contra esto y subsiguientes campañas “.

Por lo tanto, el consejo para que los usuarios permanezcan protegidos de tal malware es siempre sospechar de los documentos no solicitados enviados a través de un correo electrónico y nunca hacer clic en enlaces dentro de esos documentos a menos que verifique la fuente.

Además, se le recomienda que mantenga su sistema operativo, antivirus y otros software de seguridad actualizados para protegerse contra cualquier amenaza más reciente.

Fuente: The Hacker News

Anuncios