Вредоносная кампания началась на следующий день после испытаний новой баллистической ракеты Хвасон-14.
Пользователи, интересующиеся ядерной программой КНДР и желающие узнать результаты недавнего испытания баллистических ракет дальнего действия, могут стать жертвами новой вредоносной кампании.
3 июля нынешнего года КНДР заявила о проведении первого тестового запуска межконтинентальной баллистической ракеты Хвасон-14. По словам американских военных, подобные ракеты являются совершенно новыми и никогда ранее не встречались.
Как сообщают исследователи Talos Intelligence, на следующий день после запуска ракеты стартовала вредоносная кампания, направленная против тех, кого интересовали результаты испытания. Злоумышленники рассылали электронные письма с вредоносным документом MS Office, замаскированным под новостную статью о недавнем запуске баллистической ракеты. Текст документа был скопирован с публикации южнокорейского информагентства Yonhap от 3 июля 2017 года. Однако при его открытии исполняемый файл загружал на компьютер жертвы две разные версии вредоносного ПО KONNI – event.dll и errorevent.dll.
KONNI представляет собой ранее неизвестный троян для
удаленного доступа (RAT), используемый в течение последних трех лет. Вредонос
способен похищать файлы, перехватывать нажатия клавиш на клавиатуре, делать
скриншоты, получать данные о системе (в том числе имя хоста, IP-адрес,
имя пользователя, версию ОС) и установленном ПО, а также выполнять на
зараженной системе вредоносный код. В качестве C&C-сервера
KONNI использует сайт, якобы посвященный клубу скалолазов, на котором, впрочем,
отсутствует какой-либо контент по данной теме.
