O que é o Trojan KONNI (08.15.25)

KONNI é um cavalo de Troia de acesso remoto (RAT) fortemente associado às agências de inteligência norte-coreanas. Os pesquisadores de cibersegurança conseguiram fazer a conexão porque, após o teste bem-sucedido de um míssil balístico intercontinental da Coreia do Norte em 2017, houve um aumento nas campanhas de spear phishing referenciando as capacidades adquiridas da Coreia do Norte. Campanhas KONNI semelhantes aconteceram em 2014 e também levaram à conclusão de que KONNI é uma arma de espionagem criada para qualquer pessoa interessada em assuntos norte-coreanos, especialmente seus programas nucleares e de mísseis balísticos. Embora não esteja claro qual é o objetivo do malware, pode-se concluir que se trata principalmente de criar o perfil dos computadores das vítimas infectadas, a fim de identificar um alvo para ataques mais sustentados. A maioria dos alvos da KONNI está localizada na região Ásia-Pacífico.

O que o cavalo de Tróia KONNI faz?

O malware KONNI infecta principalmente o computador por meio de um documento do Word contaminado que atinge a maioria de suas vítimas como um anexo de e-mail.

Enquanto as vítimas estão baixando o arquivo, o malware é carregado em segundo plano, onde executa sua carga útil. KONNI então começa seu objetivo principal de reconhecimento e coleta de informações. Ele traça o perfil da rede de computadores de uma organização, captura screenshots, rouba senhas, histórico de navegação na web e geralmente busca qualquer informação que possa obter. As informações são então enviadas para um centro de comando e controle.

O malware é capaz de fazer isso criando um diretório do Windows na pasta de configurações locais do usuário atual com o caminho MFAData \\ event. Ele também extrai dois arquivos DLL maliciosos, um para sistemas operacionais de 64 bits e outro para sistemas operacionais de 32 bits. Em seguida, ele cria um valor de chave chamado RTHDVCP ou RTHDVCPE no seguinte caminho de registro: HKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Run.

Este caminho de registro é usado para persistência automática, visto que iniciará automaticamente um processo após o login bem-sucedido. Os arquivos DLL que são assim criados têm vários recursos principais que incluem keylogging, enumeração de host, coleta de inteligência, exfiltração de dados e perfil de host.

As informações coletadas são então usadas para criar ataques que se encaixem no perfil da vítima. Se KONNI infectasse computadores de alvos de alto perfil, como computadores militares da Coreia do Sul ou uma instituição financeira, as pessoas por trás dele podem criar ataques específicos, incluindo ataques de espionagem ou ransomware.

Como remover o cavalo de Troia KONNI

Supondo seu computador foi infectado, você sabe o que fazer com o cavalo de Tróia KONNI?

A maneira mais simples de remover o cavalo de Troia KONNI é usar uma solução anti-malware confiável, como o Outbyte Antivirus . Para usar o antimalware, você precisa executar seu PC no modo de segurança porque, como observado anteriormente, KONNI usa algumas técnicas de persistência automática, incluindo a manipulação de itens de inicialização automática para incluir a si mesmo. e 7 usuários, a seguir estão as etapas a serem executadas para entrar no Modo de segurança com rede.

  • Abra o utilitário Executar pressionando Windows + R no teclado.
  • Digite msconfig e execute o comando.
  • Vá para a guia Inicializar e selecione Inicialização segura e Opções de rede .
  • Reinicie seu dispositivo.

    • Assim que o dispositivo for reiniciado, inicie o antimalware e dê tempo suficiente para excluir o vírus.

    Se você não tiver um antimalware, sempre haverá a opção de rastrear manualmente os arquivos e pastas que hospedam o vírus. A maneira de fazer isso é abrir o Gerenciador de Tarefas pressionando as teclas Ctrl, Alt e Delete no teclado. No aplicativo Gerenciador de tarefas, vá para a guia Inicializar e procure por itens de inicialização suspeitos. Clique com o botão direito sobre eles e selecione Abrir local do arquivo . Agora, vá até o local do arquivo e exclua os arquivos e pastas movendo-os para a Lixeira. Você deve procurar pela pasta MFAData \\ event.

    A outra coisa que você precisa fazer é reparar as entradas do registro corrompidas e excluir aquelas que estão associadas ao malware KONNI. A maneira mais fácil de fazer isso é implantar um PC Cleaner, pois um dos principais objetivos da ferramenta de reparo de PC é reparar entradas de registro corrompidas.

    Outro propósito que a ferramenta de reparo do PC terá é excluir todos os arquivos inúteis, cookies, históricos de navegação, downloads e a maioria dos dados que cavalos de Tróia como o KONNI enviam aos cibercriminosos. Em outras palavras, o uso de um limpador de PC não apenas reduzirá o risco de reinfecção, mas também garantirá que mesmo se outro malware entrasse em seu dispositivo, ele não teria muito o que roubar.

    Se você seguiu as instruções acima, há uma grande chance de ter lidado diretamente com a ameaça de malware e a única coisa que resta agora é se proteger contra infecções futuras.

    Você precisa saber que malware entidades como KONNI só infectam computadores se as vítimas são descuidadas com a forma como lidam com anexos de imagens desconhecidas. Se você pudesse tomar cuidado extra e não baixar nenhum arquivo que aparecer em seu caminho, reduzirá bastante o risco de infecção.

    Por último, você precisa manter seu computador atualizado com a maior freqüência possível. Entidades de malware, como KONNI, usam explorações que são constantemente corrigidas por fornecedores de software, incluindo a Microsoft.

    Vídeo do youtube: O que é o Trojan KONNI

    08, 2025