Directoratul Național de Securitate Cibernetică (DNSC) a emis recent un avertisment privind o campanie de phishing activă, asociată grupării Konni, despre care se crede că are legături cu actorii statali din Coreea de Nord.
Acest atac sofisticat exploatează servicii cloud de închidere, precum Dropbox și GoogleDrive, pentru a distribui software malițios.
Cum operează hackerii grupării Konni?
Potrivit DNSC, atacatorii utilizează fișiere malițioase de tip LNK atașate la e-mailuri pentru a compromite sistemele vizate. Odată ce utilizatorul accesează fișierul, un script PowerShell ascuns este declanșat, ceea ce duce la descărcarea și instalarea troianului AsyncRAT, un software periculos care permite hackerilor acces de la distanță la sistemele infectate.
Această metodă de atac este periculoasă pentru că:
- Exploatează fișiere de comandă rapidă (LNK) specifice sistemului de operare Windows, evitând astfel filtrarea obișnuită a macrocomenzilor din documentele Microsoft Office.
- Utilizează infrastructura unor servicii cloud de închidere pentru descărcarea malware-ului, ceea ce face detecția mai dificilă.
- Ascunde activitățile periculoase prin afișarea unui document fals, astfel încât utilizatorul să nu suspecteze infectarea.
Hackerii folosesc servere proxy de comandă și control (C&C) pentru a gestiona malware-ul și a colecta date de la victime. O caracteristică recentă a atacurilor este faptul că informațiile C&C nu mai sunt codificate direct în software-ul malițios, ci sunt transmise ca parametri la momentul execuției, ceea ce face ca detectarea și analizarea atacului să fie mult mai dificile.
Citește și: Atenție, utilizatori WhatsApp! O nouă metodă de fraudă vizează conturile românilor
Konni: O amenințare cibernetică activă din 2014
Gruparea Konni este activă în spațiul cibernetic de peste un deceniu, folosind tehnici de phishing și spear-phishing pentru a ataca sisteme informatice din întreaga lume, dar mai ales din Coreea de Sud și Rusia.
Această grupare este adesea asociată cu Kimsuky, un alt grup cibernetic nord-coreean despre care se crede că are legături cu serviciile de informații militare din Coreea de Nord. Printre victimele atacurilor Konni se numără instituții guvernamentale, companii private și entități din SUA și Europa.
De asemenea, atacurile lansate de Konni au ca scop principal exfiltrarea de date sensibile din sistemele vizate. Metodele utilizate de această grupare sunt asemănătoare cu cele folosite de alte entități cibernetice nord-coreene, cum ar fi APT37 și Lazarus Group, ceea ce sugerează o coordonare strategică între aceste organizații.
Cum ne putem proteja împotriva atacurilor de phishing?
Specialiștii DNSC recomandă o serie de măsuri esențiale pentru a preveni infectarea dispozitivelor cu malware de tip AsyncRAT:
- Verificarea regulată a alertelor DNSC pentru a fi la curent cu amenințările cibernetice.
- Folosirea parolelor puternice și a autentificării cu doi factori pentru protecția conturilor online.
- Efectuarea de backup-uri regulate pentru a preveni pierderea datelor în cazul unei infectări.
- Evitarea deschiderii atașamentelor din e-mailuri necunoscute, mai ales a celor de tip LNK, care pot conține cod malițios.
- Verificarea expeditorului și a adresei de e-mail pentru a identifica eventualele tentative de phishing.
- Scanarea fișierelor suspecte cu un antivirus sau servicii online precum VirusTotal.
Adoptarea acestor măsuri poate reduce semnificativ riscul ca utilizatorii să devină victime ale acestui tip de atac.
Urmărește-ne și pe Google News
Rețele de socializare: Instagram, Facebook și Twitter
MENȚIUNE:
Informaţiile publicate de Vesteazilei.ro pot fi preluate doar în limita a 500 de caractere şi cu citarea sursei cu link activ.
Orice abatere de la această regulă constituie o încălcare a Legii 8/1996 privind dreptul de autor.