DHS CISA advierte sobre correos electrónicos de phishing manipulados con KONNI …



Konni es una herramienta de administración remota que los ciberatacantes utilizan para robar archivos, capturar pulsaciones de teclas, realizar capturas de pantalla y ejecutar código malicioso.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del Departamento de Seguridad Nacional de EE. UU. Ha publicado una alerta de seguridad que advierte a los ciberdelincuentes que utilizan correos electrónicos de phishing para implementar malware KONNI en las máquinas objetivo.

KONNI es una herramienta de administración remota (RAT) que los atacantes utilizan para robar archivos, capturar pulsaciones de teclas, realizar capturas de pantalla y ejecutar código malicioso en las máquinas infectadas. A menudo se propaga a través de correos electrónicos de phishing que contienen un archivo de Microsoft Word con un código de macro de aplicación Visible Essential (VBA) malicioso para implementar el malware.

El código malicioso puede cambiar el color de la fuente de la máquina víctima de gris claro a negro, para engañar a los usuarios para que habiliten el contenido. KONNI puede verificar si el sistema operativo Home windows es una versión de 32 bits o 64 bits y compilar y ejecutar la línea de comando para descargar más archivos. Una vez que la macro de VBA construye la línea de comandos, utiliza la herramienta de base de datos de certificados CertUtil para descargar archivos remotos de un localizador uniforme de recursos determinado. También utiliza una función incorporada para decodificar archivos codificados en foundation64.

El símbolo del sistema copia silenciosamente certutil (.) Exe en un directorio temporal y lo renombra para evadir la detección, explican los funcionarios en un aviso.

Luego, los atacantes descargan un archivo de texto de un recurso remoto que contiene una cadena codificada en foundation64 que es decodificada por CertUtil y guardada como un archivo .BAT. Luego eliminan el archivo de texto del directorio temporal y ejecutan el archivo .BAT.

CISA ofrece varias recomendaciones a las empresas para evitar este tipo de ataques. Entre estos se encuentran el mantenimiento de firmas y motores antivirus actualizados mantener los sistemas operativos actualizados, deshabilitar los servidores de intercambio de archivos e impresoras y restringir la capacidad de los usuarios para instalar y ejecutar aplicaciones de software program no deseadas. Los funcionarios desaconsejan agregar usuarios al grupo de administradores locales.

Lea el aviso completo aquí.

Speedy Hits de Darkish Studying ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente original de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial