Malware di ricognizione Whiffy

Un nuovo tipo di malware per la scansione Wi-Fi denominato Whiffy Recon è stato scoperto dagli specialisti della sicurezza informatica. La minaccia viene distribuita su macchine Windows che sono già state compromesse. I criminali informatici responsabili dell'operazione di attacco utilizzano il famigerato e minaccioso software SmokeLoader come vettore di consegna per Whiffy Recon.

Il nuovo ceppo di malware ha una funzione singolare. A intervalli regolari di 60 secondi esegue un processo in cui determina la posizione dei sistemi infetti. Ciò si ottiene eseguendo scansioni dei punti di accesso Wi-Fi nelle vicinanze, utilizzando i dati raccolti come punti di riferimento per interrogare l'API di geolocalizzazione di Google. Successivamente, le informazioni sulla posizione ottenute dall'API di geolocalizzazione di Google vengono ritrasmesse all'autore malintenzionato dietro questa operazione.

La Whiffy Recon è una minaccia altamente specializzata

Whiffy Recon funziona controllando innanzitutto la presenza del servizio WLAN AutoConfig (WLANSVC) sul sistema infetto. Se il nome del servizio non viene trovato, il malware termina da solo. Tuttavia, lo scanner non verifica se il servizio funziona.

Per ottenere la persistenza, viene creato un collegamento e aggiunto alla cartella Esecuzione automatica di Windows.

Inoltre, il malware è configurato per stabilire una connessione con un server remoto di comando e controllo (C2). Ciò si ottiene inviando un "botID" generato casualmente in una richiesta HTTP POST. Il server C2 risponde con un messaggio di successo e un identificatore segreto univoco, che viene quindi archiviato in un file denominato "%APPDATA%\Roaming\wlan\str-12.bin".

La fase successiva dell'attacco prevede l'esecuzione di scansioni per punti di accesso Wi-Fi utilizzando l'API WLAN di Windows ogni 60 secondi. I risultati della scansione raccolti vengono quindi inviati all'API di geolocalizzazione di Google per triangolare la posizione precisa del sistema compromesso. Queste informazioni vengono poi trasmesse al server C2 sotto forma di stringa JSON.

I ricercatori raramente osservano casi di questo tipo di attività e capacità impiegate da attori criminali. Sebbene la minaccia Whiffy Recon non abbia il potenziale immediato per una rapida monetizzazione come capacità autonoma, le incertezze che circondano il suo intento sono inquietanti. La realtà preoccupante è che potrebbe essere sfruttato per sostenere un’ampia gamma di obiettivi non sicuri.

Per quanto riguarda la minaccia SmokeLoader, come suggerisce il nome, questo malware funziona principalmente come caricatore. Il suo unico scopo è rilasciare carichi utili aggiuntivi sull'host di destinazione. Dal 2014 questo malware è disponibile per l'acquisto da parte di autori di minacce con sede in Russia. In genere viene propagato tramite e-mail di phishing.

Stabilire misure contro le infezioni malware è fondamentale

L’attuazione di misure per contrastare le infezioni da malware è della massima importanza. Il malware o il software minaccioso rappresenta una minaccia significativa per la sicurezza e la funzionalità dei sistemi informatici, delle reti e dei dati. Queste minacce vanno dall’accesso non autorizzato alle violazioni dei dati, alle perdite finanziarie e all’interruzione delle operazioni critiche. Stabilire misure efficaci contro il malware è essenziale per proteggere le risorse digitali e mantenere l’integrità dei sistemi.

• Aggiornamenti software regolari : i malware spesso sfruttano vulnerabilità note nei sistemi operativi e nel software. Mantenere aggiornato tutto il software aggiungendo patch di sicurezza e aggiornamenti è fondamentale per chiudere potenziali punti di ingresso per malware.
• Educazione degli utenti : molti attacchi malware prendono di mira gli utenti attraverso tattiche di ingegneria sociale come e-mail di phishing o download ingannevoli. Informare gli utenti sui rischi derivanti dal fare clic su collegamenti sospetti, dall'aprire allegati da fonti sconosciute e dall'utilizzare abitudini di navigazione sicure può ridurre significativamente il rischio di infezione.
• Controllo degli accessi e gestione dei privilegi : limitare i privilegi degli utenti e i diritti di accesso può limitare il potenziale impatto del malware. L'implementazione del principio dei privilegi minimi garantisce che gli utenti abbiano accesso solo alle risorse necessarie per i loro ruoli, riducendo la superficie di attacco per il malware.
• Backup e ripristino : eseguire regolarmente il backup di dati e sistemi essenziali è essenziale per mitigare l'impatto degli attacchi ransomware. In caso di infezione, i dati puliti possono essere ripristinati, prevenendo la perdita di dati e tentativi di estorsione.
• Segmentazione della rete : segmentare le reti e isolare i sistemi critici da quelli meno sicuri può contenere la diffusione del malware. Se un segmento viene compromesso, è più difficile per il malware spostarsi lateralmente e infettare altre parti della rete.
• Monitoraggio continuo : l'utilizzo di strumenti e pratiche di sicurezza per il monitoraggio continuo aiuta a individuare e prevenire tempestivamente le attività malware. Anomalie e comportamenti sospetti possono essere individuati tempestivamente, consentendo un intervento tempestivo.
• Valutazione del fornitore e del software : prima di integrare software o servizi di terze parti nella rete, le organizzazioni dovrebbero valutare le proprie misure di sicurezza e la propria reputazione. Ciò aiuta a prevenire l'introduzione inavvertita di malware attraverso software compromesso.
• Collaborazione e condivisione delle informazioni : rimanere informati sulle ultime tendenze del malware e sulle tecniche di attacco è fondamentale. La collaborazione con le comunità di sicurezza e la condivisione delle informazioni sulle minacce possono aiutare a difendersi in modo proattivo dalle minacce malware in evoluzione.

In conclusione, stabilire misure contro le infezioni da malware è fondamentale per salvaguardare le risorse digitali, la privacy degli utenti e la funzionalità complessiva dei sistemi. Un approccio multilivello che combini tecnologia, formazione degli utenti e strategie proattive è essenziale per mitigare efficacemente i rischi posti dal malware.