Threat Database Malware بدافزار Whiffy Recon

بدافزار Whiffy Recon

نوع جدیدی از بدافزار اسکن Wi-Fi به نام Whiffy Recon توسط متخصصان امنیت سایبری کشف شده است. این تهدید برای دستگاه‌های ویندوزی که قبلاً در معرض خطر قرار گرفته‌اند، در حال گسترش است. مجرمان سایبری مسئول عملیات حمله از نرم افزار بدنام و تهدیدآمیز SmokeLoader به عنوان بردار تحویل Whiffy Recon استفاده می کنند.

نوع جدید بدافزار یک عملکرد منحصر به فرد دارد. در فواصل منظم 60 ثانیه ای، فرآیندی را انجام می دهد که در آن موقعیت سیستم های آلوده را تعیین می کند. این امر با انجام اسکن نقاط دسترسی Wi-Fi نزدیک، با استفاده از داده های جمع آوری شده به عنوان نقاط مرجع برای جستجو در API موقعیت جغرافیایی Google به دست می آید. متعاقباً، اطلاعات مکان به‌دست‌آمده از API جغرافیایی Google به عامل مخرب پشت این عملیات بازگردانده می‌شود.

Whiffy Recon یک تهدید بسیار تخصصی است

Whiffy Recon ابتدا با بررسی وجود سرویس WLAN AutoConfig (WLANSVC) در سیستم آلوده عمل می کند. اگر نام سرویس پیدا نشود، بدافزار خود به خود خاتمه می یابد. با این حال، اسکنر بررسی نمی کند که آیا سرویس کار می کند یا خیر.

برای دستیابی به پایداری، یک میانبر ایجاد شده و به پوشه Startup ویندوز اضافه می شود.

علاوه بر این، بدافزار به گونه ای پیکربندی شده است که با یک سرور فرمان و کنترل از راه دور (C2) ارتباط برقرار کند. این با ارسال یک 'botID' به طور تصادفی در یک درخواست HTTP POST به دست می آید. سرور C2 با یک پیام موفقیت آمیز و یک شناسه مخفی منحصر به فرد پاسخ می دهد، که سپس در فایلی به نام '%APPDATA%\Roaming\wlan\str-12.bin ذخیره می شود.

مرحله بعدی حمله شامل انجام اسکن برای نقاط دسترسی Wi-Fi با استفاده از Windows WLAN API هر 60 ثانیه است. سپس نتایج اسکن جمع‌آوری‌شده به Google Geolocation API ارسال می‌شود تا مکان دقیق سیستم آسیب‌دیده را مشخص کند. سپس این اطلاعات در قالب یک رشته JSON به سرور C2 منتقل می شود.

پژوهشگران به ندرت مواردی از این نوع فعالیت و قابلیت را مشاهده می کنند که توسط بازیگران جنایتکار به کار گرفته شود. در حالی که تهدید Whiffy Recon فاقد پتانسیل فوری برای کسب درآمد سریع به عنوان یک قابلیت مستقل است، ابهامات پیرامون قصد آن نگران کننده است. واقعیت نگران کننده این است که می توان از آن برای حمایت از طیف گسترده ای از اهداف ناامن استفاده کرد.

با توجه به تهدید SmokeLoader، همانطور که از نام آن پیداست، این بدافزار در درجه اول به عنوان یک لودر عمل می کند. تنها هدف آن این است که بارهای اضافی را بر روی میزبان هدف قرار دهد. از سال 2014، این بدافزار برای خرید توسط عوامل تهدید مستقر در روسیه در دسترس بوده است. معمولاً از طریق ایمیل های فیشینگ منتشر می شود.

ایجاد تدابیری برای مقابله با آلودگی‌های بدافزار مهم است

اجرای اقدامات برای مقابله با عفونت های بدافزار از اهمیت بالایی برخوردار است. بدافزار یا نرم‌افزار تهدیدکننده، امنیت و عملکرد سیستم‌های کامپیوتری، شبکه‌ها و داده‌ها را تهدید می‌کند. این تهدیدها از دسترسی غیرمجاز به نقض داده ها، ضررهای مالی و اختلال در عملیات حیاتی متغیر است. ایجاد اقدامات موثر در برابر بدافزار برای محافظت از دارایی های دیجیتال و حفظ یکپارچگی سیستم ها ضروری است.

  • به روز رسانی منظم نرم افزار : بدافزار اغلب از آسیب پذیری های شناخته شده در سیستم عامل ها و نرم افزارها سوء استفاده می کند. به روز نگه داشتن تمامی نرم افزارهای خود با افزودن وصله های امنیتی و به روز رسانی برای بستن نقاط ورود احتمالی بدافزار بسیار مهم است.
  • آموزش کاربر : بسیاری از حملات بدافزار کاربران را از طریق تاکتیک‌های مهندسی اجتماعی مانند ایمیل‌های فیشینگ یا دانلودهای فریبنده هدف قرار می‌دهند. آموزش کاربران در مورد خطرات کلیک بر روی لینک های مشکوک، باز کردن پیوست ها از منابع ناشناخته، و استفاده از عادات مرور ایمن می تواند به طور قابل توجهی خطر ابتلا را کاهش دهد.
  • کنترل دسترسی و مدیریت امتیاز : محدود کردن امتیازات و حقوق دسترسی کاربر می تواند تأثیر بالقوه بدافزار را محدود کند. اجرای اصل حداقل امتیاز تضمین می کند که کاربران فقط به منابع لازم برای نقش خود دسترسی دارند و سطح حمله بدافزار را کاهش می دهد.
  • پشتیبان گیری و بازیابی : پشتیبان گیری منظم از داده ها و سیستم های ضروری برای کاهش تأثیر حملات باج افزار ضروری است. در صورت آلودگی، داده های تمیز را می توان بازیابی کرد، و از دست دادن داده ها و تلاش های اخاذی جلوگیری کرد.
  • تقسیم‌بندی شبکه : تقسیم‌بندی شبکه‌ها و جداسازی سیستم‌های حیاتی از سیستم‌های با امنیت کمتر می‌تواند مانع گسترش بدافزار شود. اگر یک بخش به خطر بیفتد، حرکت جانبی بدافزار و آلوده کردن سایر بخش‌های شبکه برای بدافزار دشوارتر می‌شود.
  • نظارت مستمر : استفاده از ابزارها و شیوه‌های امنیتی برای نظارت مستمر به شناسایی و پیشگیری زودهنگام فعالیت‌های بدافزار کمک می‌کند. ناهنجاری ها و رفتارهای مشکوک را می توان به سرعت شناسایی کرد که امکان مداخله به موقع را فراهم می کند.
  • ارزیابی فروشنده و نرم افزار : قبل از ادغام نرم افزار یا خدمات شخص ثالث در شبکه، سازمان ها باید اقدامات امنیتی و اعتبار خود را ارزیابی کنند. این به جلوگیری از معرفی ناخواسته بدافزار از طریق نرم افزارهای آسیب دیده کمک می کند.
  • همکاری و اشتراک گذاری اطلاعات : مطلع ماندن از آخرین روند بدافزارها و تکنیک های حمله بسیار مهم است. همکاری با جوامع امنیتی و به اشتراک گذاری اطلاعات تهدید می تواند به دفاع فعال در برابر تهدیدات بدافزار در حال تکامل کمک کند.

در نتیجه، ایجاد اقداماتی در برابر آلودگی‌های بدافزار برای حفاظت از دارایی‌های دیجیتال، حریم خصوصی کاربر و عملکرد کلی سیستم‌ها بسیار مهم است. یک رویکرد چند لایه که ترکیبی از فناوری، آموزش کاربر و استراتژی‌های پیشگیرانه است، برای کاهش خطرات ناشی از بدافزار به طور موثر ضروری است.

پرطرفدار

پربیننده ترین

بارگذاری...