Новый RAT атакует интересующихся запуском баллистических ракет КНДР

Пользователи, интересующиеся ядерной программой КНДР и желающие узнать результаты недавнего испытания баллистических ракет дальнего действия, могут стать жертвами новой вредоносной кампании.

3 июля нынешнего года КНДР заявила о проведении первого тестового запуска межконтинентальной баллистической ракеты Хвасон-14. По словам американских военных, подобные ракеты являются совершенно новыми и никогда ранее не встречались.

Как сообщают исследователи Talos Intelligence, на следующий день после запуска ракеты стартовала вредоносная кампания, направленная против тех, кого интересовали результаты испытания. Злоумышленники рассылали электронные письма с вредоносным документом MS Office, замаскированным под новостную статью о недавнем запуске баллистической ракеты. Текст документа был скопирован с публикации южнокорейского информагентства Yonhap от 3 июля 2017 года. Однако при его открытии исполняемый файл загружал на компьютер жертвы две разные версии вредоносного ПО KONNI – event.dll и errorevent.dll.

KONNI представляет собой ранее неизвестный троян для удаленного доступа (RAT), используемый в течение последних трех лет. Вредонос способен похищать файлы, перехватывать нажатия клавиш на клавиатуре, делать скриншоты, получать данные о системе (в том числе имя хоста, IP-адрес, имя пользователя, версию ОС) и установленном ПО, а также выполнять на зараженной системе вредоносный код. В качестве C&C-сервера KONNI использует сайт, якобы посвященный клубу скалолазов, на котором, впрочем, отсутствует какой-либо контент по данной теме.

Источник