Whiffy Recon Malware

Нов тип зловреден софтуер за сканиране на Wi-Fi, наречен Whiffy Recon, беше открит от специалисти по киберсигурност. Заплахата се внедрява на машини с Windows, които вече са били компрометирани. Киберпрестъпниците, отговорни за атаката, използват прословутия и заплашителен софтуер SmokeLoader като вектор за доставка на Whiffy Recon.

Новият вид зловреден софтуер има уникална функция. На редовни интервали от 60 секунди той извършва процес, при който определя позициите на заразените системи. Това се постига чрез извършване на сканиране на близки Wi-Fi точки за достъп, като се използват събраните данни като референтни точки за запитване до API на Google за геолокация. Впоследствие получената информация за местоположение от API на Google за геолокация се предава обратно на злонамерения участник зад тази операция.

Whiffy Recon е силно специализирана заплаха

Whiffy Recon работи, като първо проверява за наличието на услугата WLAN AutoConfig (WLANSVC) на заразената система. Ако името на услугата не бъде намерено, зловредният софтуер се прекратява сам. Скенерът обаче не проверява дали услугата работи.

За да се постигне постоянство, се създава пряк път и се добавя към папката за стартиране на Windows.

Освен това злонамереният софтуер е конфигуриран да установява връзка с отдалечен сървър за командване и управление (C2). Това се постига чрез изпращане на произволно генериран „botID“ в HTTP POST заявка. C2 сървърът отговаря със съобщение за успех и уникален таен идентификатор, който след това се съхранява във файл с име '%APPDATA%\Roaming\wlan\str-12.bin.'

Следващата фаза на атаката включва извършване на сканиране за Wi-Fi точки за достъп с помощта на Windows WLAN API на всеки 60 секунди. След това събраните резултати от сканирането се изпращат до API на Google Geolocation, за да се определи точното местоположение на компрометираната система. След това тази информация се предава на C2 сървъра под формата на JSON низ.

Изследователите рядко наблюдават случаи на този вид дейност и способности, използвани от престъпни лица. Въпреки че на заплахата Whiffy Recon й липсва незабавен потенциал за бърза монетизация като самостоятелна способност, несигурността около нейното намерение е обезпокоителна. Тревожната реалност е, че тя може да бъде използвана за поддържане на широк спектър от опасни цели.

Обръщайки се към заплахата SmokeLoader, както подсказва името, този зловреден софтуер функционира предимно като зареждащ инструмент. Единствената му цел е да пусне допълнителни полезни товари върху целевия хост. От 2014 г. този зловреден софтуер е достъпен за закупуване от заплахи, базирани в Русия. Обикновено се разпространява чрез фишинг имейли.

Установяването на мерки срещу инфекции със зловреден софтуер е от първостепенно значение

Прилагането на мерки за противодействие на инфекциите със зловреден софтуер е от изключително значение. Зловреден софтуер или заплашителен софтуер представлява значителна заплаха за сигурността и функционалността на компютърните системи, мрежи и данни. Тези заплахи варират от неоторизиран достъп до пробиви на данни, финансови загуби и прекъсване на критични операции. Установяването на ефективни мерки срещу зловреден софтуер е от съществено значение за защита на цифровите активи и поддържане на целостта на системите.

• Редовни актуализации на софтуера : Зловреден софтуер често използва известни уязвимости в операционните системи и софтуера. Поддържането на целия ви софтуер актуализиран чрез добавяне на корекции за сигурност и актуализации е от решаващо значение за затварянето на потенциални входни точки за злонамерен софтуер.
• Образование на потребителите : Много атаки на злонамерен софтуер са насочени към потребителите чрез тактики за социално инженерство като фишинг имейли или измамни изтегляния. Обучението на потребителите относно рисковете от кликване върху подозрителни връзки, отваряне на прикачени файлове от неизвестни източници и използване на навици за безопасно сърфиране може значително да намали риска от заразяване.
• Контрол на достъпа и управление на привилегиите : Ограничаването на потребителските привилегии и правата за достъп може да ограничи потенциалното въздействие на зловреден софтуер. Прилагането на принципа на минимални привилегии гарантира, че потребителите имат достъп само до ресурсите, необходими за техните роли, намалявайки повърхността за атака за зловреден софтуер.
• Архивиране и възстановяване : Редовното архивиране на основни данни и системи е от съществено значение за смекчаване на въздействието на атаките на ransomware. В случай на инфекция, чистите данни могат да бъдат възстановени, предотвратявайки загуба на данни и опити за изнудване.
• Сегментиране на мрежата : Сегментирането на мрежи и изолирането на критични системи от по-малко сигурни може да спре разпространението на зловреден софтуер. Ако един сегмент е компрометиран, за зловредния софтуер е по-трудно да се движи странично и да зарази други части на мрежата.
• Непрекъснато наблюдение : Използването на инструменти и практики за сигурност за непрекъснато наблюдение помага за ранното откриване и предотвратяване на дейности със зловреден софтуер. Аномалиите и подозрителното поведение могат да бъдат идентифицирани незабавно, което позволява навременна намеса.
• Оценка на доставчика и софтуера : Преди да интегрират софтуер или услуги на трети страни в мрежата, организациите трябва да оценят своите мерки за сигурност и репутация. Това помага за предотвратяване на неволно въвеждане на зловреден софтуер чрез компрометиран софтуер.
• Сътрудничество и споделяне на информация : Да бъдете информирани за най-новите тенденции в зловреден софтуер и техники за атака е от решаващо значение. Сътрудничеството с общностите по сигурността и споделянето на информация за заплахите може да помогне за проактивна защита срещу развиващи се заплахи от зловреден софтуер.

В заключение, установяването на мерки срещу инфекции със зловреден софтуер е от първостепенно значение за защитата на цифровите активи, поверителността на потребителите и цялостната функционалност на системите. Многопластовият подход, който съчетава технология, обучение на потребителите и проактивни стратегии, е от съществено значение за ефективното смекчаване на рисковете, породени от зловреден софтуер.