Whiffy Recon Malware

En ny type Wi-Fi-scanningsmalware kaldet Whiffy Recon er blevet afsløret af cybersikkerhedsspecialister. Truslen bliver implementeret til Windows-maskiner, der allerede er blevet kompromitteret. De cyberkriminelle, der er ansvarlige for angrebsoperationen, bruger den berygtede og truende SmokeLoader- software som leveringsvektor til Whiffy Recon.

Den nye stamme af malware har en enestående funktion. Med jævne mellemrum på 60 sekunder udfører den en proces, hvor den bestemmer positionerne for de inficerede systemer. Dette opnås ved at udføre scanninger af nærliggende Wi-Fi-adgangspunkter, ved at bruge de indsamlede data som referencepunkter til forespørgsel efter Googles geolocation API. Efterfølgende sendes de opnåede placeringsoplysninger fra Googles Geolocation API tilbage til den ondsindede aktør bag denne operation.

Whiffy Recon er en højt specialiseret trussel

Whiffy Recon fungerer ved først at kontrollere tilstedeværelsen af WLAN AutoConfig-tjenesten (WLANSVC) på det inficerede system. Hvis tjenestenavnet ikke findes, afsluttes malwaren af sig selv. Scanneren verificerer dog ikke, om tjenesten fungerer.

For at opnå vedholdenhed oprettes en genvej og tilføjes til Windows Startup-mappen.

Ydermere er malwaren konfigureret til at etablere en forbindelse med en ekstern Command-and-Control-server (C2). Dette opnås ved at sende et tilfældigt genereret 'botID' i en HTTP POST-anmodning. C2-serveren svarer med en succesmeddelelse og en unik hemmelig identifikator, som derefter gemmes i en fil med navnet '%APPDATA%\Roaming\wlan\str-12.bin.'

Den næste fase af angrebet involverer udførelse af scanninger for Wi-Fi-adgangspunkter ved hjælp af Windows WLAN API hvert 60. sekund. De indsamlede scanningsresultater sendes derefter til Google Geolocation API for at triangulere den præcise placering af det kompromitterede system. Denne information sendes derefter til C2-serveren i form af en JSON-streng.

Forskere observerer sjældent tilfælde af, at denne form for aktivitet og kapacitet anvendes af kriminelle aktører. Mens Whiffy Recon-truslen mangler det umiddelbare potentiale for hurtig indtægtsgenerering som en selvstændig kapacitet, er usikkerheden omkring dens hensigt foruroligende. Den bekymrende virkelighed er, at den kunne udnyttes til at understøtte en lang række usikre mål.

Med SmokeLoader-truslen, som navnet antyder, fungerer denne malware primært som en loader. Dens eneste formål er at slippe yderligere nyttelast til den målrettede vært. Siden 2014 har denne malware været tilgængelig for køb af trusselsaktører baseret i Rusland. Det udbredes typisk gennem phishing-e-mails.

Etablering af foranstaltninger mod malware-infektioner er altafgørende

Implementering af foranstaltninger til at modvirke malware-infektioner er af yderste vigtighed. Malware eller truende software udgør væsentlige trusler mod sikkerheden og funktionaliteten af computersystemer, netværk og data. Disse trusler spænder fra uautoriseret adgang til databrud, økonomiske tab og afbrydelse af kritiske operationer. Etablering af effektive foranstaltninger mod malware er afgørende for at beskytte digitale aktiver og bevare systemernes integritet.

• Regelmæssige softwareopdateringer : Malware udnytter ofte kendte sårbarheder i operativsystemer og software. At holde al din software opdateret ved at tilføje sikkerhedsrettelser og opdateringer er afgørende for at lukke potentielle indgangspunkter for malware.
• Brugeruddannelse : Mange malware-angreb er målrettet mod brugere gennem social engineering-taktikker som phishing-e-mails eller vildledende downloads. At uddanne brugere om risikoen ved at klikke på mistænkelige links, åbne vedhæftede filer fra ukendte kilder og gøre brug af sikre browsing-vaner kan reducere risikoen for infektion betydeligt.
• Adgangskontrol og privilegiestyring : Begrænsning af brugerrettigheder og adgangsrettigheder kan begrænse den potentielle indvirkning af malware. Implementering af princippet om minimalt privilegium sikrer, at brugerne kun har adgang til de ressourcer, der er nødvendige for deres roller, hvilket reducerer angrebsoverfladen for malware.
• Sikkerhedskopiering og gendannelse : Regelmæssig sikkerhedskopiering af vigtige data og systemer er afgørende for at afbøde virkningen af ransomware-angreb. I tilfælde af infektion kan rene data gendannes, hvilket forhindrer datatab og afpresningsforsøg.
• Netværkssegmentering : Segmentering af netværk og isolering af kritiske systemer fra mindre sikre kan indeholde spredning af malware. Hvis et segment er kompromitteret, er det sværere for malwaren at bevæge sig sideværts og inficere andre dele af netværket.
• Kontinuerlig overvågning : Anvendelse af sikkerhedsværktøjer og -praksis til kontinuerlig overvågning hjælper med tidlig opdagelse og forebyggelse af malware-aktiviteter. Anomalier og mistænkelig adfærd kan identificeres omgående, hvilket giver mulighed for rettidig indgriben.
• Leverandør- og softwarevurdering : Før de integrerer tredjepartssoftware eller -tjenester i netværket, bør organisationer vurdere deres sikkerhedsforanstaltninger og omdømme. Dette hjælper med at forhindre utilsigtet introduktion af malware gennem kompromitteret software.
• Samarbejde og informationsdeling : At holde sig orienteret om de seneste malwaretrends og angrebsteknikker er afgørende. Samarbejde med sikkerhedssamfund og deling af trusselsintelligens kan hjælpe med proaktivt at forsvare sig mod udviklende malwaretrusler.

Som konklusion er etablering af foranstaltninger mod malware-infektioner altafgørende for at beskytte digitale aktiver, brugernes privatliv og systemernes overordnede funktionalitet. En flerlagstilgang, der kombinerer teknologi, brugeruddannelse og proaktive strategier, er afgørende for effektivt at mindske de risici, som malware udgør.