Programari maliciós Whiffy Recon

Els especialistes en ciberseguretat han descobert un nou tipus de programari maliciós d'escaneig de Wi-Fi anomenat Whiffy Recon. L'amenaça s'està desplegant a màquines Windows que ja s'han vist compromeses. Els ciberdelinqüents responsables de l'operació d'atac estan utilitzant el famós i amenaçador programari SmokeLoader com a vector de lliurament del Whiffy Recon.

La nova varietat de programari maliciós té una funció singular. A intervals regulars de 60 segons, realitza un procés on determina les posicions dels sistemes infectats. Això s'aconsegueix realitzant escanejos de punts d'accés Wi-Fi propers, utilitzant les dades recollides com a punts de referència per consultar l'API de geolocalització de Google. Posteriorment, la informació d'ubicació obtinguda de l'API de geolocalització de Google es transmet a l'actor maliciós darrere d'aquesta operació.

El Whiffy Recon és una amenaça altament especialitzada

El Whiffy Recon funciona comprovant primer la presència del servei WLAN AutoConfig (WLANSVC) al sistema infectat. Si no es troba el nom del servei, el programari maliciós s'acaba. Tanmateix, l'escàner no verifica si el servei funciona.

Per aconseguir la persistència, es crea una drecera i s'afegeix a la carpeta d'inici de Windows.

A més, el programari maliciós està configurat per establir una connexió amb un servidor de comandament i control remot (C2). Això s'aconsegueix enviant un "botID" generat aleatòriament en una sol·licitud HTTP POST. El servidor C2 respon amb un missatge d'èxit i un identificador secret únic, que després s'emmagatzema en un fitxer anomenat "%APPDATA%\Roaming\wlan\str-12.bin".

La següent fase de l'atac consisteix a fer escanejos de punts d'accés Wi-Fi mitjançant l'API WLAN de Windows cada 60 segons. Els resultats de l'escaneig recollits s'envien a l'API de geolocalització de Google per triangular la ubicació precisa del sistema compromès. A continuació, aquesta informació es transmet al servidor C2 en forma de cadena JSON.

Els investigadors poques vegades observen casos d'aquest tipus d'activitat i capacitat que utilitzen actors criminals. Tot i que l'amenaça de Whiffy Recon no té el potencial immediat de monetització ràpida com a capacitat autònoma, les incerteses al voltant de la seva intenció són inquietants. La realitat preocupant és que es podria aprofitar per donar suport a una àmplia gamma d'objectius insegurs.

Pel que fa a l'amenaça SmokeLoader, com el seu nom indica, aquest programari maliciós funciona principalment com a carregador. El seu únic propòsit és deixar caure càrregues addicionals a l'amfitrió de destinació. Des del 2014, aquest programari maliciós està disponible per a la compra d'agents d'amenaça amb seu a Rússia. Normalment es propaga a través de correus electrònics de pesca.

Establir mesures contra les infeccions de programari maliciós és primordial

La implementació de mesures per contrarestar les infeccions de programari maliciós és de la màxima importància. El programari maliciós, o programari amenaçador, suposa amenaces importants per a la seguretat i la funcionalitat dels sistemes informàtics, les xarxes i les dades. Aquestes amenaces van des d'accés no autoritzat fins a violacions de dades, pèrdues financeres i interrupció d'operacions crítiques. Establir mesures efectives contra el programari maliciós és essencial per protegir els actius digitals i mantenir la integritat dels sistemes.

• Actualitzacions periòdiques de programari : el programari maliciós sovint explota vulnerabilitats conegudes en sistemes operatius i programari. Mantenir tot el vostre programari actualitzat afegint actualitzacions i pegats de seguretat és crucial per tancar els possibles punts d'entrada de programari maliciós.
• Educació dels usuaris : molts atacs de programari maliciós es dirigeixen als usuaris mitjançant tàctiques d'enginyeria social, com ara correus electrònics de pesca o descàrregues enganyoses. Educar els usuaris sobre els riscos de fer clic en enllaços sospitosos, obrir fitxers adjunts de fonts desconegudes i fer ús d'hàbits de navegació segurs pot reduir significativament el risc d'infecció.
• Control d'accés i gestió de privilegis : limitar els privilegis dels usuaris i els drets d'accés pot restringir l'impacte potencial del programari maliciós. La implementació del principi de privilegis mínims garanteix que els usuaris només tinguin accés als recursos necessaris per a les seves funcions, reduint la superfície d'atac del programari maliciós.
• Còpia de seguretat i recuperació : fer còpies de seguretat regularment de dades i sistemes essencials és essencial per mitigar l'impacte dels atacs de ransomware. En cas d'infecció, les dades netes es poden restaurar, evitant la pèrdua de dades i els intents d'extorsió.
• Segmentació de xarxes : segmentar xarxes i aïllar els sistemes crítics dels menys segurs pot contenir la propagació de programari maliciós. Si un segment està compromès, és més difícil que el programari maliciós es mogui lateralment i infecti altres parts de la xarxa.
• Supervisió contínua : l'ús d'eines i pràctiques de seguretat per a un seguiment continu ajuda a la detecció precoç i la prevenció d'activitats de programari maliciós. Les anomalies i els comportaments sospitosos es poden identificar ràpidament, permetent una intervenció oportuna.
• Avaluació de proveïdors i programari : abans d'integrar programari o serveis de tercers a la xarxa, les organitzacions haurien d'avaluar les seves mesures de seguretat i la seva reputació. Això ajuda a evitar la introducció inadvertida de programari maliciós mitjançant programari compromès.
• Col·laboració i intercanvi d'informació : mantenir-se informat sobre les últimes tendències de programari maliciós i tècniques d'atac és crucial. Col·laborar amb comunitats de seguretat i compartir informació sobre amenaces pot ajudar a defensar-se de manera proactiva contra les amenaces de programari maliciós en evolució.

En conclusió, establir mesures contra les infeccions de programari maliciós és primordial per salvaguardar els actius digitals, la privadesa dels usuaris i la funcionalitat global dels sistemes. Un enfocament de diverses capes que combini tecnologia, educació dels usuaris i estratègies proactives és essencial per mitigar els riscos que suposa el programari maliciós de manera eficaç.