Popusti za više licenci
Threat Database Malware Zlonamjerni softver Whiffy Recon

Zlonamjerni softver Whiffy Recon

Do Mezo. Malware. godine
Prevedi na:
Hrvatski

Stručnjaci za kibernetičku sigurnost otkrili su novu vrstu zlonamjernog softvera za skeniranje Wi-Fi mreže koji se naziva Whiffy Recon. Prijetnja se postavlja na Windows strojeve koji su već bili ugroženi. Kibernetički kriminalci odgovorni za operaciju napada koriste zloglasni i prijeteći softver SmokeLoader kao vektor isporuke za Whiffy Recon.

Nova vrsta zlonamjernog softvera ima jedinstvenu funkciju. U pravilnim intervalima od 60 sekundi provodi proces u kojem utvrđuje položaje zaraženih sustava. To se postiže provođenjem skeniranja obližnjih Wi-Fi pristupnih točaka, korištenjem prikupljenih podataka kao referentnih točaka za postavljanje upita Googleovom API-ju za geolokaciju. Nakon toga, dobiveni podaci o lokaciji iz Googleovog Geolocation API-ja šalju se natrag zlonamjernom akteru koji stoji iza ove operacije.

Whiffy Recon je visoko specijalizirana prijetnja

Whiffy Recon radi tako što prvo provjerava prisutnost usluge WLAN AutoConfig (WLANSVC) na zaraženom sustavu. Ako se naziv usluge ne pronađe, zlonamjerni se softver sam prekida. Međutim, skener ne provjerava radi li usluga.

Da bi se postigla postojanost, stvara se prečac i dodaje u mapu za pokretanje sustava Windows.

Nadalje, zlonamjerni je softver konfiguriran za uspostavljanje veze s udaljenim Command-and-Control (C2) poslužiteljem. To se postiže slanjem nasumično generiranog 'botID-a' u HTTP POST zahtjevu. C2 poslužitelj odgovara porukom o uspjehu i jedinstvenim tajnim identifikatorom, koji se zatim pohranjuje u datoteku pod nazivom '%APPDATA%\Roaming\wlan\str-12.bin.'

Sljedeća faza napada uključuje provođenje skeniranja Wi-Fi pristupnih točaka pomoću Windows WLAN API-ja svakih 60 sekundi. Prikupljeni rezultati skeniranja zatim se šalju Google Geolocation API-ju za triangulaciju točne lokacije ugroženog sustava. Te se informacije zatim prenose na C2 poslužitelj u obliku niza JSON.

Istraživači rijetko opažaju slučajeve ove vrste aktivnosti i sposobnosti koje koriste kriminalni akteri. Iako prijetnja Whiffy Recon nema trenutni potencijal za brzu monetizaciju kao samostalna sposobnost, neizvjesnosti oko njezine namjere su uznemirujuće. Zabrinjavajuća stvarnost je da se može iskoristiti za podršku širokom rasponu nesigurnih ciljeva.

Što se tiče prijetnje SmokeLoader, kao što ime sugerira, ovaj zlonamjerni softver prvenstveno funkcionira kao učitavač. Njegova jedina svrha je ispuštanje dodatnih korisnih opterećenja na ciljano računalo. Od 2014. ovaj zlonamjerni softver je dostupan za kupnju akterima prijetnji sa sjedištem u Rusiji. Obično se širi putem phishing e-pošte.

Uspostavljanje mjera protiv infekcija zlonamjernim softverom je najvažnije

Provedba mjera za suzbijanje infekcija zlonamjernim softverom od iznimne je važnosti. Zlonamjerni softver ili prijeteći softver predstavlja značajnu prijetnju sigurnosti i funkcionalnosti računalnih sustava, mreža i podataka. Te se prijetnje kreću od neovlaštenog pristupa do povrede podataka, financijskih gubitaka i prekida kritičnih operacija. Uspostava učinkovitih mjera protiv zlonamjernog softvera ključna je za zaštitu digitalne imovine i održavanje integriteta sustava.

  • Redovita ažuriranja softvera : zlonamjerni softver često iskorištava poznate ranjivosti u operativnim sustavima i softveru. Redovno ažuriranje vašeg softvera dodavanjem sigurnosnih zakrpa i ažuriranja ključno je za zatvaranje mogućih ulaznih točaka za zlonamjerni softver.
  • Edukacija korisnika : Mnogi napadi zlonamjernog softvera ciljaju korisnike putem taktika društvenog inženjeringa poput phishing e-pošte ili obmanjujućih preuzimanja. Edukacija korisnika o rizicima klikanja na sumnjive poveznice, otvaranje privitaka iz nepoznatih izvora i korištenje navika sigurnog pregledavanja može značajno smanjiti rizik od infekcije.
  • Kontrola pristupa i upravljanje privilegijama : Ograničavanje korisničkih privilegija i prava pristupa može ograničiti potencijalni utjecaj zlonamjernog softvera. Implementacija načela minimalnih privilegija osigurava da korisnici imaju pristup samo onim resursima koji su potrebni za njihove uloge, smanjujući površinu napada zlonamjernog softvera.
  • Sigurnosno kopiranje i oporavak : Redovito sigurnosno kopiranje bitnih podataka i sustava ključno je za ublažavanje utjecaja napada ransomwarea. U slučaju zaraze, čisti podaci mogu se vratiti, sprječavajući gubitak podataka i pokušaje iznude.
  • Segmentacija mreže : Segmentacija mreža i izolacija kritičnih sustava od manje sigurnih može spriječiti širenje zlonamjernog softvera. Ako je jedan segment ugrožen, zlonamjernom softveru je teže kretati se bočno i zaraziti druge dijelove mreže.
  • Kontinuirano nadziranje : Korištenje sigurnosnih alata i praksi za kontinuirani nadzor pomaže u ranom otkrivanju i sprječavanju aktivnosti zlonamjernog softvera. Anomalije i sumnjivo ponašanje mogu se odmah prepoznati, što omogućuje pravovremenu intervenciju.
  • Procjena dobavljača i softvera : Prije integracije softvera ili usluga treće strane u mrežu, organizacije bi trebale procijeniti svoje sigurnosne mjere i ugled. To pomaže u sprječavanju nenamjernog unošenja zlonamjernog softvera putem ugroženog softvera.
  • Suradnja i dijeljenje informacija : Biti informiran o najnovijim trendovima zlonamjernog softvera i tehnikama napada je ključno. Suradnja sa sigurnosnim zajednicama i dijeljenje obavještajnih podataka o prijetnjama može pomoći u proaktivnoj obrani od rastućih prijetnji zlonamjernog softvera.

Zaključno, uspostavljanje mjera protiv infekcija zlonamjernim softverom najvažnije je za zaštitu digitalne imovine, privatnosti korisnika i ukupne funkcionalnosti sustava. Višeslojni pristup koji kombinira tehnologiju, edukaciju korisnika i proaktivne strategije ključan je za učinkovito ublažavanje rizika koje predstavlja zlonamjerni softver.

U trendu

Nagledanije

Učitavam...