Multilicenční slevy
Threat Database Malware Whiffy Recon Malware

Whiffy Recon Malware

V roce Mezo v roce Malware
Přeložit do:
Čeština

Specialisté na kybernetickou bezpečnost odhalili nový typ malwaru pro skenování Wi-Fi označovaný jako Whiffy Recon. Hrozba je nasazována na počítače se systémem Windows, které již byly kompromitovány. Kyberzločinci zodpovědní za útočnou operaci používají notoricky známý a hrozivý software SmokeLoader jako vektor doručení pro Whiffy Recon.

Nový druh malwaru má jedinečnou funkci. V pravidelných intervalech 60 sekund provádí proces, kdy zjišťuje pozice infikovaných systémů. Toho je dosaženo prováděním skenování blízkých přístupových bodů Wi-Fi pomocí shromážděných dat jako referenčních bodů pro dotazování na geolokační API Google. Následně jsou získané informace o poloze z Google Geolocation API přeneseny zpět k zlomyslnému aktérovi, který za touto operací stojí.

Whiffy Recon je vysoce specializovaná hrozba

Whiffy Recon funguje tak, že nejprve zkontroluje přítomnost služby WLAN AutoConfig (WLANSVC) v infikovaném systému. Pokud není název služby nalezen, malware se sám ukončí. Skener však neověřuje, zda služba funguje.

Pro dosažení stálosti je vytvořen zástupce a přidán do složky Po spuštění systému Windows.

Kromě toho je malware nakonfigurován tak, aby navázal spojení se vzdáleným serverem Command-and-Control (C2). Toho je dosaženo odesláním náhodně vygenerovaného „botID“ v požadavku HTTP POST. Server C2 odpoví zprávou o úspěchu a jedinečným tajným identifikátorem, který je pak uložen v souboru s názvem '%APPDATA%\Roaming\wlan\str-12.bin.'

Další fáze útoku zahrnuje provádění skenování přístupových bodů Wi-Fi pomocí rozhraní Windows WLAN API každých 60 sekund. Shromážděné výsledky skenování jsou poté odeslány do Google Geolocation API, aby se zjistila přesná poloha napadeného systému. Tyto informace jsou poté přenášeny na server C2 ve formě řetězce JSON.

Výzkumníci jen zřídka pozorují případy tohoto druhu činnosti a schopností, které využívají kriminální aktéři. Zatímco hrozba Whiffy Recon postrádá okamžitý potenciál pro rychlou monetizaci jako samostatná schopnost, nejistoty kolem jejího záměru jsou znepokojivé. Znepokojující skutečností je, že by mohl být využit k podpoře široké škály nebezpečných cílů.

Pokud jde o hrozbu SmokeLoader, jak název napovídá, tento malware funguje primárně jako zavaděč. Jeho jediným účelem je přenést další užitečné zatížení na cílového hostitele. Od roku 2014 je tento malware k dispozici ke koupi aktéry hrozeb se sídlem v Rusku. Obvykle se šíří prostřednictvím phishingových e-mailů.

Zavedení opatření proti malwarovým infekcím je prvořadé

Zavedení opatření proti malwarovým infekcím je nanejvýš důležité. Malware, neboli ohrožující software, představuje významné hrozby pro bezpečnost a funkčnost počítačových systémů, sítí a dat. Tyto hrozby sahají od neoprávněného přístupu k narušení dat, finančním ztrátám a narušení kritických operací. Zavedení účinných opatření proti malwaru je zásadní pro ochranu digitálních aktiv a zachování integrity systémů.

  • Pravidelné aktualizace softwaru : Malware často využívá známá zranitelnost operačních systémů a softwaru. Udržování veškerého softwaru aktualizovaného přidáváním bezpečnostních záplat a aktualizací je zásadní pro uzavření potenciálních vstupních bodů pro malware.
  • Vzdělávání uživatelů : Mnoho útoků malwaru cílí na uživatele prostřednictvím taktik sociálního inženýrství, jako jsou phishingové e-maily nebo klamavé stahování. Poučení uživatelů o rizicích klikání na podezřelé odkazy, otevírání příloh z neznámých zdrojů a používání návyků bezpečného prohlížení může významně snížit riziko infekce.
  • Řízení přístupu a správa oprávnění : Omezení uživatelských oprávnění a přístupových práv může omezit potenciální dopad malwaru. Implementace principu minimálního privilegia zajišťuje, že uživatelé mají přístup pouze ke zdrojům nezbytným pro jejich role, čímž se snižuje plocha útoku pro malware.
  • Zálohování a obnova : Pravidelné zálohování důležitých dat a systémů je zásadní pro zmírnění dopadu ransomwarových útoků. V případě infekce lze obnovit čistá data, čímž se zabrání ztrátě dat a pokusům o vydírání.
  • Segmentace sítě : Segmentace sítí a izolace kritických systémů od méně bezpečných může zabránit šíření malwaru. Pokud je jeden segment kompromitován, je pro malware obtížnější přesunout se do strany a infikovat další části sítě.
  • Nepřetržité monitorování : Využití bezpečnostních nástrojů a postupů pro nepřetržité monitorování pomáhá při včasné detekci a prevenci malwarových aktivit. Anomálie a podezřelé chování lze identifikovat okamžitě, což umožňuje včasný zásah.
  • Posouzení dodavatele a softwaru : Před integrací softwaru nebo služeb třetích stran do sítě by organizace měly posoudit svá bezpečnostní opatření a pověst. To pomáhá zabránit nechtěnému zavlečení malwaru prostřednictvím kompromitovaného softwaru.
  • Spolupráce a sdílení informací : Zůstat informován o nejnovějších trendech malwaru a technikách útoků je zásadní. Spolupráce s bezpečnostními komunitami a sdílení informací o hrozbách může pomoci při proaktivní obraně proti vyvíjejícím se hrozbám malwaru.

Závěrem lze říci, že zavedení opatření proti malwarovým infekcím je prvořadé pro ochranu digitálních aktiv, soukromí uživatelů a celkovou funkčnost systémů. Vícevrstvý přístup, který kombinuje technologii, vzdělávání uživatelů a proaktivní strategie, je nezbytný pro účinné zmírnění rizik, která malware představuje.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,882
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...