خصومات التراخيص المتعددة
Threat Database Malware البرامج الضارة Whiffy Recon

البرامج الضارة Whiffy Recon

بواسطة Mezo في Malware
ترجمة الى:
العربية

اكتشف متخصصون في الأمن السيبراني نوعًا جديدًا من البرامج الضارة لفحص شبكات Wi-Fi، ويُشار إليها باسم Whiffy Recon. يتم نشر التهديد على أجهزة Windows التي تم اختراقها بالفعل. يستخدم مجرمو الإنترنت المسؤولون عن عملية الهجوم برنامج SmokeLoader سيئ السمعة والمهدد كناقل توصيل لبرنامج Whiffy Recon.

السلالة الجديدة من البرمجيات الخبيثة لها وظيفة فريدة. وعلى فترات منتظمة مدتها 60 ثانية، يقوم بتنفيذ عملية تحدد فيها مواقع الأنظمة المصابة. ويتم تحقيق ذلك عن طريق إجراء عمليات فحص لنقاط وصول Wi-Fi القريبة، باستخدام البيانات المجمعة كنقاط مرجعية للاستعلام عن واجهة برمجة تطبيقات تحديد الموقع الجغرافي من Google. وبعد ذلك، يتم إرسال معلومات الموقع التي تم الحصول عليها من واجهة برمجة تطبيقات تحديد الموقع الجغرافي من Google مرة أخرى إلى الجهة الضارة التي تقف وراء هذه العملية.

يعد Whiffy Recon تهديدًا متخصصًا للغاية

يعمل Whiffy Recon عن طريق التحقق أولاً من وجود خدمة WLAN AutoConfig (WLANSVC) على النظام المصاب. إذا لم يتم العثور على اسم الخدمة، تقوم البرامج الضارة بإنهاء نفسها. ومع ذلك، لا يتحقق الماسح الضوئي من عمل الخدمة.

لتحقيق الاستمرارية، يتم إنشاء اختصار وإضافته إلى مجلد بدء تشغيل Windows.

علاوة على ذلك، تم تكوين البرامج الضارة لإنشاء اتصال مع خادم القيادة والتحكم (C2) عن بعد. يتم تحقيق ذلك عن طريق إرسال "botID" الذي تم إنشاؤه عشوائيًا في طلب HTTP POST. يستجيب خادم C2 برسالة نجاح ومعرف سري فريد، والذي يتم بعد ذلك تخزينه في ملف يسمى '%APPDATA%\Roaming\wlan\str-12.bin.'

تتضمن المرحلة التالية من الهجوم إجراء عمليات فحص لنقاط وصول Wi-Fi باستخدام Windows WLAN API كل 60 ثانية. يتم بعد ذلك إرسال نتائج المسح المجمعة إلى Google Geolocation API لتثليث الموقع الدقيق للنظام المخترق. يتم بعد ذلك نقل هذه المعلومات إلى خادم C2 في شكل سلسلة JSON.

نادرًا ما يلاحظ الباحثون حالات من هذا النوع من النشاط والقدرات التي تستخدمها جهات إجرامية. في حين أن تهديد Whiffy Recon يفتقر إلى الإمكانية الفورية لتحقيق الدخل السريع كقدرة قائمة بذاتها، فإن الشكوك المحيطة بنواياه مثيرة للقلق. والحقيقة المثيرة للقلق هي أنه يمكن تسخيرها لدعم مجموعة واسعة من الأهداف غير الآمنة.

وبالانتقال إلى تهديد SmokeLoader، كما يوحي الاسم، تعمل هذه البرامج الضارة في المقام الأول كمحمل. والغرض الوحيد منه هو إسقاط حمولات إضافية على المضيف المستهدف. منذ عام 2014، أصبحت هذه البرامج الضارة متاحة للشراء من قبل جهات التهديد الموجودة في روسيا. يتم نشره عادةً من خلال رسائل البريد الإلكتروني التصيدية.

يعد وضع تدابير ضد الإصابة بالبرامج الضارة أمرًا بالغ الأهمية

يعد تنفيذ التدابير اللازمة لمواجهة الإصابات بالبرامج الضارة أمرًا في غاية الأهمية. تشكل البرامج الضارة أو برامج التهديد تهديدات كبيرة لأمن ووظائف أنظمة الكمبيوتر والشبكات والبيانات. وتتراوح هذه التهديدات بين الوصول غير المصرح به إلى خروقات البيانات، والخسائر المالية، وتعطيل العمليات الحيوية. يعد وضع تدابير فعالة ضد البرامج الضارة أمرًا ضروريًا لحماية الأصول الرقمية والحفاظ على سلامة الأنظمة.

  • تحديثات البرامج المنتظمة : غالبًا ما تستغل البرامج الضارة نقاط الضعف المعروفة في أنظمة التشغيل والبرامج. يعد الحفاظ على تحديث جميع برامجك عن طريق إضافة تصحيحات وتحديثات الأمان أمرًا ضروريًا لإغلاق نقاط الدخول المحتملة للبرامج الضارة.

  • تعليم المستخدم : تستهدف العديد من هجمات البرامج الضارة المستخدمين من خلال أساليب الهندسة الاجتماعية مثل رسائل البريد الإلكتروني التصيدية أو التنزيلات الخادعة. إن تثقيف المستخدمين حول مخاطر النقر على الروابط المشبوهة، وفتح المرفقات من مصادر غير معروفة، والاستفادة من عادات التصفح الآمن، يمكن أن يقلل بشكل كبير من خطر الإصابة.

  • التحكم في الوصول وإدارة الامتيازات : يمكن أن يؤدي تقييد امتيازات المستخدم وحقوق الوصول إلى تقييد التأثير المحتمل للبرامج الضارة. يضمن تطبيق مبدأ الحد الأدنى من الامتيازات أن المستخدمين لديهم فقط إمكانية الوصول إلى الموارد اللازمة لأدوارهم، مما يقلل من مساحة الهجوم للبرامج الضارة.

  • النسخ الاحتياطي والاسترداد : يعد النسخ الاحتياطي للبيانات والأنظمة الأساسية بشكل منتظم أمرًا ضروريًا للتخفيف من تأثير هجمات برامج الفدية. وفي حالة الإصابة، يمكن استعادة البيانات النظيفة، مما يمنع فقدان البيانات ومحاولات الابتزاز.

  • تجزئة الشبكة : يمكن أن يؤدي تجزئة الشبكات وعزل الأنظمة المهمة عن الأنظمة الأقل أمانًا إلى احتواء انتشار البرامج الضارة. إذا تم اختراق أحد الأجزاء، فمن الصعب على البرامج الضارة التحرك بشكل جانبي وإصابة أجزاء أخرى من الشبكة.

  • المراقبة المستمرة : يساعد استخدام الأدوات والممارسات الأمنية للمراقبة المستمرة في الكشف المبكر عن أنشطة البرامج الضارة والوقاية منها. يمكن تحديد الحالات الشاذة والسلوك المشبوه على الفور، مما يسمح بالتدخل في الوقت المناسب.

  • تقييم البائعين والبرمجيات : قبل دمج برامج أو خدمات الطرف الثالث في الشبكة، يجب على المؤسسات تقييم إجراءاتها الأمنية وسمعتها. ويساعد ذلك في منع إدخال برامج ضارة عن غير قصد من خلال البرامج المخترقة.

  • التعاون ومشاركة المعلومات : يعد البقاء على اطلاع بأحدث اتجاهات البرامج الضارة وتقنيات الهجوم أمرًا بالغ الأهمية. يمكن أن يساعد التعاون مع المجتمعات الأمنية ومشاركة المعلومات المتعلقة بالتهديدات في الدفاع بشكل استباقي ضد تهديدات البرامج الضارة المتطورة.

في الختام، يعد وضع تدابير ضد إصابات البرامج الضارة أمرًا بالغ الأهمية لحماية الأصول الرقمية وخصوصية المستخدم والوظائف العامة للأنظمة. يعد النهج متعدد الطبقات الذي يجمع بين التكنولوجيا وتعليم المستخدم والاستراتيجيات الاستباقية أمرًا ضروريًا للتخفيف من المخاطر التي تشكلها البرامج الضارة بشكل فعال.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,882
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...