Wiffy 정찰 악성코드

사이버 보안 전문가들은 Whiffy Recon이라고 불리는 새로운 유형의 Wi-Fi 검색 악성 코드를 발견했습니다. 이미 손상된 Windows 시스템에 위협이 배포되고 있습니다. 공격 작전을 담당하는 사이버 범죄자들은 악명 높고 위협적인 SmokeLoader 소프트웨어를 Whiffy Recon의 전달 벡터로 사용하고 있습니다.

새로운 악성 코드 변종은 단 하나의 기능을 가지고 있습니다. 60초 간격으로 감염된 시스템의 위치를 파악하는 프로세스를 수행합니다. 이는 수집된 데이터를 Google의 Geolocation API 쿼리를 위한 참조 지점으로 사용하여 근처 Wi-Fi 액세스 포인트를 스캔함으로써 달성됩니다. 이후 Google의 Geolocation API에서 얻은 위치 정보는 이 작업을 수행하는 악의적인 행위자에게 다시 전송됩니다.

Wiffy Recon은 고도로 전문화된 위협입니다.

Wiffy Recon은 먼저 감염된 시스템에 WLAN AutoConfig 서비스(WLANSVC)가 있는지 확인하여 작동합니다. 서비스 이름을 찾을 수 없으면 악성코드는 스스로 종료됩니다. 그러나 스캐너는 서비스가 작동하는지 확인하지 않습니다.

지속성을 확보하기 위해 바로 가기가 생성되어 Windows 시작 폴더에 추가됩니다.

또한 이 악성코드는 원격 C2(명령 및 제어) 서버와 연결을 설정하도록 구성되어 있습니다. 이는 HTTP POST 요청에서 무작위로 생성된 'botID'를 전송함으로써 달성됩니다. C2 서버는 성공 메시지와 고유 비밀 식별자로 응답하며, 이는 '%APPDATA%\Roaming\wlan\str-12.bin'이라는 파일에 저장됩니다.

공격의 다음 단계에서는 60초마다 Windows WLAN API를 사용하여 Wi-Fi 액세스 포인트에 대한 검사를 수행합니다. 그런 다음 수집된 스캔 결과는 Google Geolocation API로 전송되어 손상된 시스템의 정확한 위치를 삼각측량합니다. 이 정보는 JSON 문자열 형식으로 C2 서버에 전송됩니다.

연구자들은 범죄 행위자들이 이러한 종류의 활동과 능력을 사용하는 사례를 거의 관찰하지 않습니다. Whiffy Recon 위협은 독립형 기능으로서 신속한 수익 창출을 위한 즉각적인 잠재력이 부족하지만 그 의도를 둘러싼 불확실성은 불안합니다. 우려되는 현실은 광범위한 안전하지 않은 목표를 지원하는 데 활용될 수 있다는 것입니다.

SmokeLoader 위협을 살펴보면, 이름에서 알 수 있듯이 이 악성코드는 주로 로더 역할을 합니다. 유일한 목적은 대상 호스트에 추가 페이로드를 삭제하는 것입니다. 2014년부터 이 악성코드는 러시아에 기반을 둔 공격자들이 구매할 수 있게 되었습니다. 일반적으로 피싱 이메일을 통해 전파됩니다.

악성코드 감염 대책 수립이 무엇보다 중요

맬웨어 감염에 대응하기 위한 조치를 구현하는 것이 가장 중요합니다. 맬웨어 또는 위협적인 소프트웨어는 컴퓨터 시스템, 네트워크 및 데이터의 보안과 기능에 심각한 위협을 가합니다. 이러한 위협은 무단 액세스부터 데이터 유출, 재정적 손실, 중요한 운영 중단까지 다양합니다. 디지털 자산을 보호하고 시스템의 무결성을 유지하려면 악성 코드에 대한 효과적인 대책을 수립하는 것이 필수적입니다.

• 정기적인 소프트웨어 업데이트 : 맬웨어는 운영 체제 및 소프트웨어의 알려진 취약점을 악용하는 경우가 많습니다. 보안 패치 및 업데이트를 추가하여 모든 소프트웨어를 최신 상태로 유지하는 것은 맬웨어의 잠재적인 진입점을 차단하는 데 중요합니다.
• 사용자 교육 : 많은 맬웨어 공격은 피싱 이메일이나 사기성 다운로드와 같은 사회 공학적 전술을 통해 사용자를 표적으로 삼습니다. 의심스러운 링크를 클릭하고, 출처를 알 수 없는 첨부 파일을 열며, 안전한 탐색 습관을 활용하는 것의 위험에 대해 사용자를 교육하면 감염 위험을 크게 줄일 수 있습니다.
• 액세스 제어 및 권한 관리 : 사용자 권한 및 액세스 권한을 제한하면 맬웨어의 잠재적인 영향을 제한할 수 있습니다. 최소 권한 원칙을 구현하면 사용자가 자신의 역할에 필요한 리소스에만 액세스할 수 있으므로 맬웨어의 공격 표면이 줄어듭니다.
• 백업 및 복구 : 랜섬웨어 공격의 영향을 완화하려면 필수 데이터와 시스템을 정기적으로 백업하는 것이 필수적입니다. 감염이 발생한 경우 깨끗한 데이터를 복원하여 데이터 손실 및 탈취 시도를 방지할 수 있습니다.
• 네트워크 분할 : 네트워크를 분할하고 중요한 시스템을 덜 안전한 시스템과 격리하면 악성 코드의 확산을 방지할 수 있습니다. 한 세그먼트가 손상되면 악성 코드가 측면으로 이동하여 네트워크의 다른 부분을 감염시키기가 더 어렵습니다.
• 지속적인 모니터링 : 지속적인 모니터링을 위한 보안 도구 및 관행을 사용하면 맬웨어 활동을 조기에 감지하고 예방하는 데 도움이 됩니다. 이상 징후와 의심스러운 행동을 즉시 식별할 수 있어 적시에 개입할 수 있습니다.
• 공급업체 및 소프트웨어 평가 : 조직은 타사 소프트웨어나 서비스를 네트워크에 통합하기 전에 보안 조치와 평판을 평가해야 합니다. 이렇게 하면 손상된 소프트웨어를 통해 실수로 맬웨어가 유입되는 것을 방지할 수 있습니다.
• 협업 및 정보 공유 : 최신 맬웨어 동향과 공격 기술에 대한 최신 정보를 얻는 것이 중요합니다. 보안 커뮤니티와 협력하고 위협 인텔리전스를 공유하면 진화하는 악성 코드 위협을 사전에 방어하는 데 도움이 될 수 있습니다.

결론적으로, 맬웨어 감염에 대한 대책을 수립하는 것은 디지털 자산, 사용자 개인 정보 보호 및 시스템의 전반적인 기능을 보호하는 데 가장 중요합니다. 맬웨어로 인한 위험을 효과적으로 완화하려면 기술, 사용자 교육, 사전 대응 전략을 결합한 다계층 접근 방식이 필수적입니다.