بدافزار Whiffy Recon
نوع جدیدی از بدافزار اسکن Wi-Fi به نام Whiffy Recon توسط متخصصان امنیت سایبری کشف شده است. این تهدید برای دستگاههای ویندوزی که قبلاً در معرض خطر قرار گرفتهاند، در حال گسترش است. مجرمان سایبری مسئول عملیات حمله از نرم افزار بدنام و تهدیدآمیز SmokeLoader به عنوان بردار تحویل Whiffy Recon استفاده می کنند.
نوع جدید بدافزار یک عملکرد منحصر به فرد دارد. در فواصل منظم 60 ثانیه ای، فرآیندی را انجام می دهد که در آن موقعیت سیستم های آلوده را تعیین می کند. این امر با انجام اسکن نقاط دسترسی Wi-Fi نزدیک، با استفاده از داده های جمع آوری شده به عنوان نقاط مرجع برای جستجو در API موقعیت جغرافیایی Google به دست می آید. متعاقباً، اطلاعات مکان بهدستآمده از API جغرافیایی Google به عامل مخرب پشت این عملیات بازگردانده میشود.
Whiffy Recon یک تهدید بسیار تخصصی است
Whiffy Recon ابتدا با بررسی وجود سرویس WLAN AutoConfig (WLANSVC) در سیستم آلوده عمل می کند. اگر نام سرویس پیدا نشود، بدافزار خود به خود خاتمه می یابد. با این حال، اسکنر بررسی نمی کند که آیا سرویس کار می کند یا خیر.
برای دستیابی به پایداری، یک میانبر ایجاد شده و به پوشه Startup ویندوز اضافه می شود.
علاوه بر این، بدافزار به گونه ای پیکربندی شده است که با یک سرور فرمان و کنترل از راه دور (C2) ارتباط برقرار کند. این با ارسال یک 'botID' به طور تصادفی در یک درخواست HTTP POST به دست می آید. سرور C2 با یک پیام موفقیت آمیز و یک شناسه مخفی منحصر به فرد پاسخ می دهد، که سپس در فایلی به نام '%APPDATA%\Roaming\wlan\str-12.bin ذخیره می شود.
مرحله بعدی حمله شامل انجام اسکن برای نقاط دسترسی Wi-Fi با استفاده از Windows WLAN API هر 60 ثانیه است. سپس نتایج اسکن جمعآوریشده به Google Geolocation API ارسال میشود تا مکان دقیق سیستم آسیبدیده را مشخص کند. سپس این اطلاعات در قالب یک رشته JSON به سرور C2 منتقل می شود.
پژوهشگران به ندرت مواردی از این نوع فعالیت و قابلیت را مشاهده می کنند که توسط بازیگران جنایتکار به کار گرفته شود. در حالی که تهدید Whiffy Recon فاقد پتانسیل فوری برای کسب درآمد سریع به عنوان یک قابلیت مستقل است، ابهامات پیرامون قصد آن نگران کننده است. واقعیت نگران کننده این است که می توان از آن برای حمایت از طیف گسترده ای از اهداف ناامن استفاده کرد.
با توجه به تهدید SmokeLoader، همانطور که از نام آن پیداست، این بدافزار در درجه اول به عنوان یک لودر عمل می کند. تنها هدف آن این است که بارهای اضافی را بر روی میزبان هدف قرار دهد. از سال 2014، این بدافزار برای خرید توسط عوامل تهدید مستقر در روسیه در دسترس بوده است. معمولاً از طریق ایمیل های فیشینگ منتشر می شود.
ایجاد تدابیری برای مقابله با آلودگیهای بدافزار مهم است
اجرای اقدامات برای مقابله با عفونت های بدافزار از اهمیت بالایی برخوردار است. بدافزار یا نرمافزار تهدیدکننده، امنیت و عملکرد سیستمهای کامپیوتری، شبکهها و دادهها را تهدید میکند. این تهدیدها از دسترسی غیرمجاز به نقض داده ها، ضررهای مالی و اختلال در عملیات حیاتی متغیر است. ایجاد اقدامات موثر در برابر بدافزار برای محافظت از دارایی های دیجیتال و حفظ یکپارچگی سیستم ها ضروری است.
- به روز رسانی منظم نرم افزار : بدافزار اغلب از آسیب پذیری های شناخته شده در سیستم عامل ها و نرم افزارها سوء استفاده می کند. به روز نگه داشتن تمامی نرم افزارهای خود با افزودن وصله های امنیتی و به روز رسانی برای بستن نقاط ورود احتمالی بدافزار بسیار مهم است.
- آموزش کاربر : بسیاری از حملات بدافزار کاربران را از طریق تاکتیکهای مهندسی اجتماعی مانند ایمیلهای فیشینگ یا دانلودهای فریبنده هدف قرار میدهند. آموزش کاربران در مورد خطرات کلیک بر روی لینک های مشکوک، باز کردن پیوست ها از منابع ناشناخته، و استفاده از عادات مرور ایمن می تواند به طور قابل توجهی خطر ابتلا را کاهش دهد.
- کنترل دسترسی و مدیریت امتیاز : محدود کردن امتیازات و حقوق دسترسی کاربر می تواند تأثیر بالقوه بدافزار را محدود کند. اجرای اصل حداقل امتیاز تضمین می کند که کاربران فقط به منابع لازم برای نقش خود دسترسی دارند و سطح حمله بدافزار را کاهش می دهد.
- پشتیبان گیری و بازیابی : پشتیبان گیری منظم از داده ها و سیستم های ضروری برای کاهش تأثیر حملات باج افزار ضروری است. در صورت آلودگی، داده های تمیز را می توان بازیابی کرد، و از دست دادن داده ها و تلاش های اخاذی جلوگیری کرد.
- تقسیمبندی شبکه : تقسیمبندی شبکهها و جداسازی سیستمهای حیاتی از سیستمهای با امنیت کمتر میتواند مانع گسترش بدافزار شود. اگر یک بخش به خطر بیفتد، حرکت جانبی بدافزار و آلوده کردن سایر بخشهای شبکه برای بدافزار دشوارتر میشود.
- نظارت مستمر : استفاده از ابزارها و شیوههای امنیتی برای نظارت مستمر به شناسایی و پیشگیری زودهنگام فعالیتهای بدافزار کمک میکند. ناهنجاری ها و رفتارهای مشکوک را می توان به سرعت شناسایی کرد که امکان مداخله به موقع را فراهم می کند.
- ارزیابی فروشنده و نرم افزار : قبل از ادغام نرم افزار یا خدمات شخص ثالث در شبکه، سازمان ها باید اقدامات امنیتی و اعتبار خود را ارزیابی کنند. این به جلوگیری از معرفی ناخواسته بدافزار از طریق نرم افزارهای آسیب دیده کمک می کند.
- همکاری و اشتراک گذاری اطلاعات : مطلع ماندن از آخرین روند بدافزارها و تکنیک های حمله بسیار مهم است. همکاری با جوامع امنیتی و به اشتراک گذاری اطلاعات تهدید می تواند به دفاع فعال در برابر تهدیدات بدافزار در حال تکامل کمک کند.
در نتیجه، ایجاد اقداماتی در برابر آلودگیهای بدافزار برای حفاظت از داراییهای دیجیتال، حریم خصوصی کاربر و عملکرد کلی سیستمها بسیار مهم است. یک رویکرد چند لایه که ترکیبی از فناوری، آموزش کاربر و استراتژیهای پیشگیرانه است، برای کاهش خطرات ناشی از بدافزار به طور موثر ضروری است.