Konni RAT: il malware sfrutta documenti Word per attaccare Windows

Konni RAT, malware già attivo da anni, sembra aver recentemente modificato le proprie strategie, spiazzando gli esperti di sicurezza informatica.

I ricercatori di FortiGuard Labs hanno analizzato e valutato una campagna del trojan, notando come prende di mira i sistemi Windows attraverso le macro dannose di Microsoft Word. Questo modus operandi, di certo, non è una novità nel settore: si tratta di una strategia comune tra i cybercriminali da diversi anni.

A rendere Konni particolarmente temibile sono però altre caratteristiche, come i sofisticati meccanismi di difesa. Le specialità di questo RAT spaziano dall’esecuzione di comandi con privilegi elevati fino al furto di credenziali. Di fatto, un PC infettato con questo malware, è totalmente nelle mani dei criminali informatici che possono scaricare, caricare file ed eseguire gli stessi senza particolari limitazioni.

Il documento in questione presenta testo in russo e si presenta con un nome che, in qualche modo, sembra fare riferimento a fatture o contratti di lavoro. Il file Word sembra essere stato creato a settembre 2023 e, quando viene aperto, chiede all’utente di attivare uno script VBA.

Konni RAT sfrutta una tecnica di infezione ben nota agli esperti di sicurezza

Con questo intervento, di fatto, lo script avvia il download di un file (ovvero check.bat) che effettua diversi controlli sul sistema ormai infettato. In questo modo, gli aggressori possono identificare la versione del sistema operativo e altre informazioni specifiche.

Una volta completati i test, check.bat esegue la libreria wpns.dll aggirando l’User Account Control (UAC) e utilizzando il file legittimo wusa.exe per ottenere i comandi privilegiati. A questo punto viene eseguito netpp.bat e vengono copiati i file necessari al pieno controllo del dispositivo nella cartella System32.

Secondo quanto riportato da FortiGuard Labs, Konni sembra prendere di mira singoli utenti e organizzazioni in tutto il mondo, con una leggera predilezione per territori come Medio Oriente e Nord Africa. In passato, lo stesso malware, aveva dimostrato attività alquanto aggressive in contesti come Russia e Corea del Nord.

Per evitare questo tipo di RAT, è bene seguire alcune pratiche basilari nel contesto della cybersecurity. Evitare allegati e-mail da mittenti sconosciuti, così come adottare un antivirus adeguato, sono ottime garanzie in tal senso.