Το Konni Remote Access Trojan (RAT) έλαβε πρόσφατα «σημαντικές» ενημερώσεις, λένε οι ερευνητές, οι οποίοι προτρέπουν την κοινότητα να παρακολουθεί στενά το malware.
Δείτε επίσης: Banking malware: Τα πιο επικίνδυνα trojans που έχουν υπάρξει!
Την Τετάρτη, η εταιρεία κυβερνοασφάλειας Malwarebytes δημοσίευσε μια συμβουλή σχετικά με τις τελευταίες εξελίξεις του malware, σημειώνοντας ότι το Trojan βρίσκεται υπό ενεργό ανάπτυξη με αποτέλεσμα «μεγάλες» αλλαγές.
Δείτε επίσης: 300.000 χρήστες Android έχουν κατεβάσει αυτά τα banking trojan malware apps
Το Konni έχει εντοπιστεί στην αγορά για περίπου οκτώ χρόνια. Μια αναφορά για το malware που δημοσιεύθηκε από την BlackBerry το 2017 ανέφερε ότι το κακόβουλο λογισμικό χρησιμοποιούσε «βασικές» τεχνικές αντι-ανάλυσης και χρησιμοποιήθηκε για σκοπούς επιτήρησης, αντί για τις τυπικές οικονομικές επιθέσεις που συχνά συνδέονται με RATs.
Οι προηγούμενες εκστρατείες υπαινίχθηκαν έντονα την σύνδεση με τη Βόρεια Κορέα. Τα έγγραφα phishing που χρησιμοποιούνται για τη διάδοση του Trojan τείνουν να έχουν θέματα που συνδέονται με το Hermit Kingdom, συμπεριλαμβανομένου περιεχομένου που σχετίζεται με δυνατότητες πυραύλων, βόμβες υδρογόνου και άρθρα που αντιγράφηκαν από το πρακτορείο ειδήσεων Yonhap που μιλούσαν για τη χώρα.
Τα συνημμένα έγγραφα περιείχαν το payload και μόλις εκτελούνταν σε ένα ευάλωτο μηχάνημα Windows, το Konni συγκέντρωνε δεδομένα μέσω file grabs, keystroke logs και screen capturing.
Δείτε επίσης: Η ευπάθεια Log4j Log4Shell χρησιμοποιείται για την εγκατάσταση του Dridex banking trojan
Το Konni πιστεύεται ότι είναι έργο της ομάδας Kimsuky, η οποία έχει επιτεθεί σε νοτιοκορεατικά think tank, πολιτικές ομάδες στη Ρωσία και οντότητες τόσο στην Ιαπωνία όσο και στις Ηνωμένες Πολιτείες.
Σύμφωνα με το Malwarebytes, το παλιό Trojan έχει πλέον εξελιχθεί σε μια «πιο κρυφή» εκδοχή του εαυτού του. Νέα δείγματα δείχνουν ότι το διάνυσμα επίθεσης phishing έχει παραμείνει κατά κύριο λόγο το ίδιο –με το payload που αναπτύσσεται μέσω κακόβουλων εγγράφων Office – αλλά το Trojan, ένα αρχείο .DLL που συνδέεται με ένα αρχείο .ini, περιέχει πλέον αναθεωρημένη λειτουργικότητα.
Ένας μη γνωστός packer χρησιμοποιήθηκε από ορισμένα πρόσφατα δείγματα Konni, αλλά τα threat data που συλλέγονται από την εταιρεία κυβερνοασφάλειας υποδηλώνουν ότι μπορεί να είχε μείνει εκτός πραγματικών σεναρίων.
Πηγή πληροφοριών: zdnet.com
 έλαβε πρόσφατα «σημαντικές» ενημερώσεις, λένε οι ερευνητές, οι οποίοι προτρέπουν την κοινότητα...){kind=link}