Het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid heeft een waarschuwing afgegeven voor de KONNI-malware die via Word-documenten wordt verspreid. KONNI is een remote administration tool (RAT) waarmee aanvallers bestanden stelen, toetsaanslagen opslaan, screenshots maken en willekeurige code op besmette systemen uitvoeren.

Het Word-document dat de aanvallers gebruiken is voorzien van een kwaadaardige macro en lichtgrijze tekst. Tevens zijn er instructies toegevoegd die de ontvanger oproepen om macro's in te schakelen om de tekst zichtbaar te maken. Wanneer de gebruiker macro's inschakelt wordt de kwaadaardige code uitgevoerd en de KONNI-malware geïnstalleerd.

Eenmaal actief verzamelt de malware informatie over het besmette systeem, zoals ip-adres en gebruikersnaam. Tevens kan de malware toetsaanslagen opslaan, bestanden verwijderen, data uit het clipboard stelen, screenshots maken en profielinformatie met wachtwoorden uit Google Chrome, Opera en Mozilla Firefox stelen.

De KONNI-malware is niet nieuw, die werd drie jaar geleden al door Cisco ontdekt en was toen al drie jaar actief. Het CISA, onderdeel van het Amerikaanse ministerie van Homeland Security, stelt dat de malware op dit moment actief door aanvallers wordt gebruikt om systemen te infecteren. De waarschuwing van de overheidsinstantie bevat rules voor het intrusion detection system Snort om de malware te detecteren, alsmede adviezen om een infectie te voorkomen.