Εκπτώσεις πολλαπλών αδειών
Threat Database Malware Κακόβουλο λογισμικό Whiffy Recon

Κακόβουλο λογισμικό Whiffy Recon

Μέχρι το Mezo το Malware
Μετάφραση σε:
Ελληνικά

Ένας νέος τύπος κακόβουλου λογισμικού σάρωσης Wi-Fi που αναφέρεται ως Whiffy Recon αποκαλύφθηκε από ειδικούς στον τομέα της ασφάλειας στον κυβερνοχώρο. Η απειλή αναπτύσσεται σε μηχανήματα Windows που έχουν ήδη παραβιαστεί. Οι κυβερνοεγκληματίες που είναι υπεύθυνοι για την επιχείρηση επίθεσης χρησιμοποιούν το διαβόητο και απειλητικό λογισμικό SmokeLoader ως φορέα παράδοσης για το Whiffy Recon.

Το νέο στέλεχος κακόβουλου λογισμικού έχει μια μοναδική λειτουργία. Σε τακτά χρονικά διαστήματα των 60 δευτερολέπτων, πραγματοποιεί μια διαδικασία όπου καθορίζει τις θέσεις των μολυσμένων συστημάτων. Αυτό επιτυγχάνεται με τη διεξαγωγή σαρώσεων κοντινών σημείων πρόσβασης Wi-Fi, χρησιμοποιώντας τα δεδομένα που συλλέγονται ως σημεία αναφοράς για την υποβολή ερωτημάτων στο API γεωγραφικής τοποθεσίας της Google. Στη συνέχεια, οι ληφθείσες πληροφορίες τοποθεσίας από το API Geolocation της Google μεταδίδονται πίσω στον κακόβουλο παράγοντα πίσω από αυτήν τη λειτουργία.

Το Whiffy Recon είναι μια εξαιρετικά εξειδικευμένη απειλή

Το Whiffy Recon λειτουργεί ελέγχοντας πρώτα για την παρουσία της υπηρεσίας WLAN AutoConfig (WLANSVC) στο μολυσμένο σύστημα. Εάν δεν βρεθεί το όνομα της υπηρεσίας, το κακόβουλο λογισμικό τερματίζεται από μόνο του. Ωστόσο, ο σαρωτής δεν επαληθεύει εάν η υπηρεσία λειτουργεί.

Για να επιτευχθεί επιμονή, δημιουργείται μια συντόμευση και προστίθεται στον φάκελο εκκίνησης των Windows.

Επιπλέον, το κακόβουλο λογισμικό έχει ρυθμιστεί ώστε να δημιουργεί σύνδεση με έναν απομακρυσμένο διακομιστή Command-and-Control (C2). Αυτό επιτυγχάνεται με την αποστολή ενός «botID» που δημιουργείται τυχαία σε ένα αίτημα HTTP POST. Ο διακομιστής C2 απαντά με ένα μήνυμα επιτυχίας και ένα μοναδικό μυστικό αναγνωριστικό, το οποίο στη συνέχεια αποθηκεύεται σε ένα αρχείο με το όνομα '%APPDATA%\Roaming\wlan\str-12.bin.'

Η επόμενη φάση της επίθεσης περιλαμβάνει τη διεξαγωγή σαρώσεων για σημεία πρόσβασης Wi-Fi χρησιμοποιώντας το Windows WLAN API κάθε 60 δευτερόλεπτα. Στη συνέχεια, τα αποτελέσματα σάρωσης που συλλέγονται αποστέλλονται στο Google Geolocation API για τον τριγωνισμό της ακριβούς τοποθεσίας του παραβιασμένου συστήματος. Στη συνέχεια, αυτές οι πληροφορίες μεταδίδονται στον διακομιστή C2 με τη μορφή συμβολοσειράς JSON.

Οι ερευνητές σπάνια παρατηρούν περιπτώσεις αυτού του είδους δραστηριότητας και ικανότητας να χρησιμοποιούνται από εγκληματίες. Ενώ η απειλή Whiffy Recon δεν διαθέτει τις άμεσες δυνατότητες για ταχεία δημιουργία εσόδων ως αυτόνομη ικανότητα, οι αβεβαιότητες γύρω από την πρόθεσή της είναι ανησυχητικές. Η ανησυχητική πραγματικότητα είναι ότι θα μπορούσε να αξιοποιηθεί για να υποστηρίξει ένα ευρύ φάσμα μη ασφαλών στόχων.

Όσον αφορά την απειλή SmokeLoader, όπως υποδηλώνει το όνομα, αυτό το κακόβουλο λογισμικό λειτουργεί κυρίως ως φορτωτής. Ο μοναδικός σκοπός του είναι να ρίχνει επιπλέον ωφέλιμα φορτία στον στοχευμένο κεντρικό υπολογιστή. Από το 2014, αυτό το κακόβουλο λογισμικό είναι διαθέσιμο για αγορά από φορείς απειλών με έδρα τη Ρωσία. Συνήθως διαδίδεται μέσω μηνυμάτων ηλεκτρονικού ψαρέματος.

Η θέσπιση μέτρων κατά των λοιμώξεων από κακόβουλο λογισμικό είναι πρωταρχικής σημασίας

Η εφαρμογή μέτρων για την αντιμετώπιση μολύνσεων από κακόβουλο λογισμικό είναι υψίστης σημασίας. Το κακόβουλο λογισμικό, ή το απειλητικό λογισμικό, συνιστά σημαντικές απειλές για την ασφάλεια και τη λειτουργικότητα των συστημάτων υπολογιστών, των δικτύων και των δεδομένων. Αυτές οι απειλές κυμαίνονται από μη εξουσιοδοτημένη πρόσβαση σε παραβιάσεις δεδομένων, οικονομικές απώλειες και διακοπή κρίσιμων λειτουργιών. Η θέσπιση αποτελεσματικών μέτρων κατά του κακόβουλου λογισμικού είναι απαραίτητη για την προστασία των ψηφιακών στοιχείων και τη διατήρηση της ακεραιότητας των συστημάτων.

  • Τακτικές ενημερώσεις λογισμικού : Το κακόβουλο λογισμικό συχνά εκμεταλλεύεται γνωστές ευπάθειες σε λειτουργικά συστήματα και λογισμικό. Η διατήρηση όλου του λογισμικού σας ενημερωμένο με την προσθήκη ενημερώσεων κώδικα ασφαλείας και ενημερώσεων είναι ζωτικής σημασίας για το κλείσιμο πιθανών σημείων εισόδου για κακόβουλο λογισμικό.
  • Εκπαίδευση χρηστών : Πολλές επιθέσεις κακόβουλου λογισμικού στοχεύουν χρήστες μέσω τακτικών κοινωνικής μηχανικής, όπως μηνύματα ηλεκτρονικού ψαρέματος ή παραπλανητικές λήψεις. Η εκπαίδευση των χρηστών σχετικά με τους κινδύνους του κλικ σε ύποπτους συνδέσμους, το άνοιγμα συνημμένων από άγνωστες πηγές και η χρήση των συνηθειών ασφαλούς περιήγησης μπορεί να μειώσει σημαντικά τον κίνδυνο μόλυνσης.
  • Έλεγχος πρόσβασης και διαχείριση προνομίων : Ο περιορισμός των δικαιωμάτων χρήστη και των δικαιωμάτων πρόσβασης μπορεί να περιορίσει τον πιθανό αντίκτυπο του κακόβουλου λογισμικού. Η εφαρμογή της αρχής του ελάχιστου προνομίου διασφαλίζει ότι οι χρήστες έχουν πρόσβαση μόνο στους απαραίτητους πόρους για τους ρόλους τους, μειώνοντας την επιφάνεια επίθεσης για κακόβουλο λογισμικό.
  • Δημιουργία αντιγράφων ασφαλείας και ανάκτηση : Η τακτική δημιουργία αντιγράφων ασφαλείας βασικών δεδομένων και συστημάτων είναι απαραίτητη για τον μετριασμό των επιπτώσεων των επιθέσεων ransomware. Σε περίπτωση μόλυνσης, τα καθαρά δεδομένα μπορούν να αποκατασταθούν, αποτρέποντας την απώλεια δεδομένων και τις προσπάθειες εκβιασμού.
  • Τμηματοποίηση Δικτύου : Ο τμηματοποίηση δικτύων και η απομόνωση κρίσιμων συστημάτων από λιγότερο ασφαλή μπορεί να περιορίσει την εξάπλωση κακόβουλου λογισμικού. Εάν ένα τμήμα έχει παραβιαστεί, είναι πιο δύσκολο για το κακόβουλο λογισμικό να μετακινηθεί πλευρικά και να μολύνει άλλα μέρη του δικτύου.
  • Συνεχής παρακολούθηση : Η χρήση εργαλείων και πρακτικών ασφαλείας για συνεχή παρακολούθηση βοηθά στον έγκαιρο εντοπισμό και την πρόληψη δραστηριοτήτων κακόβουλου λογισμικού. Οι ανωμαλίες και η ύποπτη συμπεριφορά μπορούν να εντοπιστούν αμέσως, επιτρέποντας την έγκαιρη παρέμβαση.
  • Αξιολόγηση προμηθευτή και λογισμικού : Προτού ενσωματώσουν λογισμικό ή υπηρεσίες τρίτων στο δίκτυο, οι οργανισμοί θα πρέπει να αξιολογήσουν τα μέτρα ασφαλείας και τη φήμη τους. Αυτό βοηθά στην αποτροπή της ακούσιας εισαγωγής κακόβουλου λογισμικού μέσω παραβιασμένου λογισμικού.
  • Συνεργασία και κοινή χρήση πληροφοριών : Η ενημέρωση σχετικά με τις πιο πρόσφατες τάσεις κακόβουλου λογισμικού και τεχνικές επίθεσης είναι ζωτικής σημασίας. Η συνεργασία με κοινότητες ασφαλείας και η κοινή χρήση πληροφοριών σχετικά με τις απειλές μπορεί να βοηθήσει στην προληπτική άμυνα έναντι των εξελισσόμενων απειλών κακόβουλου λογισμικού.

Συμπερασματικά, η θέσπιση μέτρων κατά των μολύνσεων από κακόβουλο λογισμικό είναι πρωταρχικής σημασίας για τη διαφύλαξη των ψηφιακών περιουσιακών στοιχείων, του απορρήτου των χρηστών και της συνολικής λειτουργικότητας των συστημάτων. Μια πολυεπίπεδη προσέγγιση που συνδυάζει τεχνολογία, εκπαίδευση των χρηστών και προληπτικές στρατηγικές είναι απαραίτητη για τον αποτελεσματικό μετριασμό των κινδύνων που ενέχει το κακόβουλο λογισμικό.

Τάσεις

Περισσότερες εμφανίσεις

Απάτη ηλεκτρονικού ταχυδρομείου «Geek Squad».

Phishing, Spam
15,882
Το Geek Squad, ένας δημοφιλής πάροχος τεχνικής υποστήριξης, έχει πέσει θύμα μιας απάτης ηλεκτρονικού ψαρέματος που ονομάζεται Geek Squad Email Scam. Αυτή η απάτη τεχνικής υποστήριξης χρησιμοποιεί πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου που εξαπατούν τους ανθρώπους να δώσουν τα προσωπικά τους στοιχεία, όπως στοιχεία πιστωτικών καρτών, διευθύνσεις email, ακόμη και αριθμούς κοινωνικής ασφάλισης....
Φόρτωση...