Cos'è il Trojan KONNI (08.15.25)
KONNI è un Trojan ad accesso remoto (RAT) fortemente associato alle agenzie di intelligence nordcoreane. I ricercatori della sicurezza informatica sono stati in grado di stabilire la connessione perché, dopo il test di successo del 2017 di un missile balistico intercontinentale della Corea del Nord, si è verificato un picco nelle campagne di spear phishing che fanno riferimento alle capacità acquisite della Corea del Nord. Campagne KONNI simili sono avvenute nel 2014 e anch'esse hanno portato alla conclusione che KONNI è un'arma di spionaggio creata per chiunque sia interessato agli affari nordcoreani, in particolare ai suoi programmi nucleari e missilistici balistici. Sebbene non sia chiaro quale sia l'obiettivo del malware, si può concludere che si tratta principalmente di profilare i computer delle vittime infette in modo da identificare un obiettivo per attacchi più sostenuti. La maggior parte degli obiettivi di KONNI ha sede nella regione dell'Asia Pacifico.
Che cosa fa il Trojan KONNI?Il malware KONNI infetta principalmente il computer attraverso un documento Word contaminato che raggiunge la maggior parte delle vittime come allegato di posta elettronica.
Mentre le vittime scaricano il file, il malware viene caricato in background dove viene esegue il suo carico utile. KONNI inizia quindi il suo obiettivo principale di ricognizione e raccolta di informazioni. Profila la rete di computer di un'organizzazione, acquisisce schermate, ruba password, cronologia di navigazione web e in generale cerca qualsiasi informazione su cui riesce a mettere le mani. Le informazioni vengono quindi inviate a un centro di comando e controllo.
Il malware è in grado di farlo creando una directory di Windows nella cartella delle impostazioni locali dell'utente corrente con il percorso MFAData\\event. Estrae anche due file DLL dannosi, uno per il sistema operativo a 64 bit e un altro per il sistema operativo a 32 bit. Successivamente, crea un valore chiave chiamato RTHDVCP o RTHDVCPE nel seguente percorso di registro: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run.
Questo percorso di registro viene utilizzato per la persistenza automatica, dato che avvierà automaticamente un processo dopo l'accesso riuscito. I file DLL così creati hanno diverse funzionalità di base che includono keylogging, enumerazione degli host, raccolta di informazioni, esfiltrazione dei dati e profilazione dell'host.
Le informazioni raccolte vengono quindi utilizzate per creare attacchi che si adattino al profilo della vittima. Se KONNI dovesse infettare i computer di obiettivi di alto profilo come i computer militari della Corea del Sud o un istituto finanziario, le persone dietro di esso potrebbero adattare attacchi specifici tra cui attacchi di spionaggio o ransomware.
Come rimuovere il trojan KONNISupponendo il tuo computer è stato infettato, sai cosa fare con il Trojan KONNI?
Il modo più semplice per rimuovere il Trojan KONNI è utilizzare una soluzione antimalware affidabile come Outbyte Antivirus. Per utilizzare l'anti-malware, devi eseguire il PC in modalità provvisoria perché, come notato in precedenza, KONNI utilizza alcune tecniche di persistenza automatica, inclusa la manipolazione degli elementi di avvio automatico per includersi.
Per Windows 10 e 7 utenti, i seguenti sono i passaggi da eseguire per accedere alla modalità provvisoria con rete.
Una volta riavviato il dispositivo, avvia l'anti-malware e concedigli tempo sufficiente per eliminare il virus.
Se non disponi di un anti-malware, c'è sempre la possibilità di rintracciare manualmente i file e le cartelle che ospitano il virus. Il modo per farlo è aprire il Gestione attività premendo i tasti Ctrl, Alt e Cancsulla tastiera. Nell'app Task Manager, vai alla scheda Avvio e cerca eventuali elementi di avvio sospetti. Fai clic con il pulsante destro del mouse su di essi e seleziona Apri percorso file. Ora vai alla posizione del file ed elimina i file e le cartelle spostandoli nel Cestino. Dovresti cercare la cartella MFAData\\event.
L'altra cosa che dovrai fare è riparare le voci di registro danneggiate ed eliminare quelle associate al malware KONNI. Il modo più semplice per farlo è distribuire un PC Cleaner poiché uno degli obiettivi principali dello strumento di riparazione del PC è riparare le voci di registro danneggiate.
Un altro scopo dello strumento di riparazione del PC è eliminare qualsiasi file spazzatura, cookie, cronologia di navigazione, download e la maggior parte dei dati che i trojan come KONNI inviano ai criminali informatici. In altre parole, l'utilizzo di un PC Cleaner non solo ridurrà il rischio di reinfezione, ma assicurerà anche che, anche se un altro malware si fosse infiltrato nel tuo dispositivo, non avrebbe molto da rubare.
Se hai seguito le istruzioni sopra, c'è un'alta probabilità che tu abbia affrontato esattamente la minaccia malware e l'unica cosa che rimane ora è proteggerti da infezioni future.
Devi sapere che malware entità come KONNI infettano i computer solo se le vittime non sono attente a come gestiscono gli allegati da immagini sconosciute. Se potessi prendere ulteriori precauzioni e non scaricare alcun file che incontri, ridurrai notevolmente il rischio di infezione.
Infine, devi mantenere il tuo computer aggiornato il più spesso possibile. Entità malware come KONNI utilizzano exploit che vengono costantemente corretti da fornitori di software, tra cui Microsoft.
Video Youtube: Cos'è il Trojan KONNI
08, 2025