La Cybersecurity and Infrastructure Security Agency (CISA) du Département américain de la Sécurité Intérieure a publié une alerte de sécurité avertissant que les cybercriminels utilisent des e-mails de phishing afin de déployer le malware KONNI sur des machines cibles.

KONNI est un outil d'administration à distance (RAT) que les attaquants utilisent pour voler des fichiers, capturer des frappes au clavier, prendre des captures d'écran et exécuter du code malveillant sur des machines infectées. Il se propage souvent via des e-mails de phishing contenant un fichier Microsoft Word avec un code de macro d'application Visual Basic (VBA) malveillant pour déployer le malware.

Le code malveillant peut changer la couleur de la police du gris clair au noir (pour tromper l'utilisateur pour activer le contenu), vérifier si le système d'exploitation Windows est une version 32 bits ou 64 bits, construire et exécuter la ligne de commande pour télécharger des fichiers.

Une fois que la macro VBA a construit la ligne de commande, elle utilise l'outil de base de données de certificats CertUtil pour télécharger des fichiers distants à partir d'un localisateur de ressources uniformes donné. Il intègre également une fonction intégrée pour décoder les fichiers encodés en base64. L'invite de commande copie silencieusement certutil.exe dans un répertoire temporaire et le renomme pour éviter la détection.

L’attaquant télécharge ensuite un fichier texte à partir d'une ressource distante contenant une chaîne encodée en base64 qui est décodée par CertUtil et enregistrée sous forme de fichier batch (.BAT). Enfin, l’attaquant supprime le fichier texte du répertoire temporaire et exécute le fichier .BAT.

CISA fournit plusieurs recommandations aux entreprises pour éviter ce type d'attaque. Parmi ceux-ci figurent la mise à jour des signatures et des moteurs antivirus; maintenir les systèmes d'exploitation à jour, désactiver les serveurs de partage de fichiers et d'imprimantes et restreindre la capacité des utilisateurs à installer et à exécuter des applications logicielles indésirables. Les responsables déconseillent d'ajouter des utilisateurs au groupe d'administrateurs locaux.

Vous pouvez lire l’avis complet ici