SIGURNOST ONLINE

Zanima vas Sjeverna Koreja? Pripazite na ovaj malware

10.07.2017 u 08:45

Bionic
Reading

Oči svijeta su uprte u Sjevernu Koreju i njihov program interkontinentalnih balističkih nuklearnih raketa. Netko je iskoristio ova događanja kako bi pokrenuo malware kampanju koja cilja upravo na one znatiželjne

Sjeverna Koreja je 3. srpnja objavila kako su uspješno testirali prvi interkontinentalni balistički projektil, Hwasong-14. Kako su se mediji diljem svijeta raspisali o tom događaju, cyber kriminalci su iskoristili priliku za izradu još jedne online napasti, koja cilja upravo na one znatiželjne oko cijele priče. 

Sigurnosni stručnjaci tvrtke Talos Intelligence otrkili su novu malicioznu kampanju koja je počela 4. srpnja. Riječ je o trojanskom konju KONNI, aktivnom preko tri godine. 

Kako stvar funkcionira?

KONNI maliciozni kod je RAT (Remote Access Trojan), osmišljen da krade datoteke, bilježi tipkanja, snima i prenosi screenshote, uz niz drugih stvari kojima se kriminalci mogu dočepati apsolutno svih informacija na računalu. Hakeri za napad u pravilu koriste email poruke s privitkom. 

U porukama se nalazi MS Office dokument, prerušen u tekst o raketnim testovima Sjeverne Koreje. Tekst u dokumentu je, naravno, copy-paste sadržaj južnokorejske novinske agencije Yonhap, a dokument je inficiran dvjema KONNI datotekama, event.dll i errorevent.dll. 

Uz 64-bitno izdanje Windowsa obje datoteke kreću u inficiranje, dok se na 32-bitnom izdanju Windowsa pokreće samo errorevent.dll. Malware se sam po sebi brine kako ostaje aktivan i pri resetiranju sustava. 

Novi vektori napada

Posebnost u ovoj priči, otkriva Talos Intelligence, je to da se Command and Control server za maliciozni kod smjestio na stranici prerušenoj u legitimni penjački klub, iako samo odredište ne sadrži tekst, već samo zadani tekst CMS-a. Štoviše, internetska stranica ima i kontakt adresu u SAD-u, iako kartografski prikaz pruža pogled na lokaciju u Seoulu, u Južnoj Koreji. 

Kako se zaštititi?

Kao i do sada - primarno logikom i zdravim razumom. Nikako se ne smije otvarati datoteke sa sumnjivih email adresa, a posebno to vrijedi za poruke koje u sebi kriju i privitak dokumenta. Istovremeno se preporučuje ni ne klikati na poveznice koje se nalaze u porukama nepoznatih pošiljatelja. 

Drugi i jednako bitan korak je održavanje sustava najnovijim sigurnosnim zakrpama za OS i antivirusni program, piše Hacker News