Whiffy Recon ļaunprātīga programmatūra

Kiberdrošības speciālisti ir atklājuši jauna veida Wi-Fi skenēšanas ļaunprātīgu programmatūru, ko dēvē par Whiffy Recon. Draudi tiek izvietoti Windows iekārtās, kas jau ir apdraudētas. Par uzbrukuma operāciju atbildīgie kibernoziedznieki izmanto bēdīgi slaveno un draudīgo SmokeLoader programmatūru kā Whiffy Recon piegādes vektoru.

Jaunajam ļaunprogrammatūras celmam ir atsevišķa funkcija. Regulāros 60 sekunžu intervālos tas veic procesu, kurā nosaka inficēto sistēmu atrašanās vietas. Tas tiek panākts, veicot tuvējo Wi-Fi piekļuves punktu skenēšanu, izmantojot savāktos datus kā atskaites punktus Google ģeogrāfiskās atrašanās vietas API vaicājumam. Pēc tam iegūtā atrašanās vietas informācija no Google ģeogrāfiskās atrašanās vietas API tiek nosūtīta atpakaļ ļaunprātīgajam dalībniekam, kas veic šo darbību.

Whiffy Recon ir ļoti specializēts apdraudējums

Whiffy Recon darbojas, vispirms pārbaudot, vai inficētajā sistēmā nav WLAN automātiskās konfigurācijas pakalpojuma (WLANSVC). Ja pakalpojuma nosaukums netiek atrasts, ļaunprātīga programmatūra tiek pārtraukta. Tomēr skeneris nepārbauda, vai pakalpojums darbojas.

Lai nodrošinātu noturību, tiek izveidota saīsne un pievienota Windows startēšanas mapei.

Turklāt ļaunprogrammatūra ir konfigurēta, lai izveidotu savienojumu ar attālo Command-and-Control (C2) serveri. Tas tiek panākts, HTTP POST pieprasījumā nosūtot nejauši ģenerētu “botID”. C2 serveris atbild ar veiksmes ziņojumu un unikālu slepeno identifikatoru, kas pēc tam tiek saglabāts failā ar nosaukumu "%APPDATA%\Roaming\wlan\str-12.bin".

Nākamajā uzbrukuma fāzē ik pēc 60 sekundēm tiek veikta Wi-Fi piekļuves punktu skenēšana, izmantojot Windows WLAN API. Pēc tam apkopotie skenēšanas rezultāti tiek nosūtīti uz Google ģeolokācijas API, lai triangulētu precīzu apdraudētās sistēmas atrašanās vietu. Pēc tam šī informācija tiek pārsūtīta uz C2 serveri JSON virknes veidā.

Pētnieki reti novēro gadījumus, kad šāda veida darbības un spējas izmanto noziedzīgi dalībnieki. Lai gan Whiffy Recon draudiem trūkst tūlītēja potenciāla ātrai monetizācijai kā atsevišķai iespējai, neskaidrības, kas saistītas ar tā nodomu, rada satraukumu. Satraucošā realitāte ir tāda, ka to var izmantot, lai atbalstītu plašu nedrošu mērķu klāstu.

Pievēršoties SmokeLoader draudiem, kā norāda nosaukums, šī ļaunprogrammatūra galvenokārt darbojas kā ielādētājs. Tās vienīgais mērķis ir nomest papildu kravas uz mērķa saimniekdatoru. Kopš 2014. gada šo ļaunprogrammatūru var iegādāties apdraudējuma dalībnieki, kas atrodas Krievijā. Tas parasti tiek izplatīts, izmantojot pikšķerēšanas e-pastus.

Īpaši svarīgi ir noteikt pasākumus pret ļaunprātīgu programmatūru

Ļoti svarīgi ir īstenot pasākumus, lai novērstu ļaunprātīgas programmatūras infekcijas. Ļaunprātīga programmatūra vai apdraudoša programmatūra rada ievērojamus draudus datorsistēmu, tīklu un datu drošībai un funkcionalitātei. Šie draudi svārstās no nesankcionētas piekļuves līdz datu pārkāpumiem, finansiāliem zaudējumiem un kritisku darbību traucējumiem. Lai aizsargātu digitālos līdzekļus un uzturētu sistēmu integritāti, ir svarīgi noteikt efektīvus pasākumus pret ļaunprātīgu programmatūru.

• Regulāri programmatūras atjauninājumi : ļaunprātīga programmatūra bieži izmanto zināmās operētājsistēmu un programmatūras ievainojamības. Visas programmatūras atjaunināšana, pievienojot drošības ielāpus un atjauninājumus, ir ļoti svarīga, lai aizvērtu iespējamos ļaunprātīgas programmatūras ieejas punktus.
• Lietotāju izglītošana : daudzi ļaunprātīgas programmatūras uzbrukumi ir vērsti uz lietotājiem, izmantojot sociālās inženierijas taktikas, piemēram, pikšķerēšanas e-pastus vai maldinošas lejupielādes. Lietotāju izglītošana par risku, kas rodas, noklikšķinot uz aizdomīgām saitēm, atverot pielikumus no nezināmiem avotiem un izmantojot drošas pārlūkošanas ieradumus, var ievērojami samazināt inficēšanās risku.
• Piekļuves kontrole un privilēģiju pārvaldība : lietotāju privilēģiju un piekļuves tiesību ierobežošana var ierobežot ļaunprātīgas programmatūras iespējamo ietekmi. Minimālo privilēģiju principa ieviešana nodrošina, ka lietotājiem ir pieejami tikai viņu lomai nepieciešamie resursi, tādējādi samazinot ļaunprātīgas programmatūras uzbrukuma virsmu.
• Dublēšana un atkopšana : Regulāra būtisku datu un sistēmu dublēšana ir būtiska, lai mazinātu izspiedējvīrusu uzbrukumu ietekmi. Infekcijas gadījumā var atjaunot tīrus datus, novēršot datu zudumu un izspiešanas mēģinājumus.
• Tīkla segmentēšana : tīklu segmentēšana un kritisko sistēmu atdalīšana no mazāk drošām var ierobežot ļaunprātīgas programmatūras izplatīšanos. Ja kāds segments ir apdraudēts, ļaunprogrammatūrai ir grūtāk pārvietoties uz sāniem un inficēt citas tīkla daļas.
• Nepārtraukta uzraudzība : drošības rīku un prakses izmantošana nepārtrauktai uzraudzībai palīdz agrīni atklāt un novērst ļaunprātīgas programmatūras darbības. Anomālijas un aizdomīgu uzvedību var atklāt ātri, ļaujot savlaicīgi iejaukties.
• Pārdevēja un programmatūras novērtējums : pirms trešās puses programmatūras vai pakalpojumu integrēšanas tīklā organizācijām jānovērtē savi drošības pasākumi un reputācija. Tas palīdz novērst netīšu ļaunprātīgas programmatūras ieviešanu, izmantojot uzlauztu programmatūru.
• Sadarbība un informācijas apmaiņa : ir ļoti svarīgi būt informētam par jaunākajām ļaunprātīgas programmatūras tendencēm un uzbrukuma metodēm. Sadarbība ar drošības kopienām un draudu izlūkošanas informācijas apmaiņa var palīdzēt proaktīvi aizsargāties pret ļaunprātīgas programmatūras draudiem.

Noslēgumā jāsaka, ka pasākumu noteikšana pret ļaunprātīgas programmatūras infekcijām ir ļoti svarīga, lai aizsargātu digitālos līdzekļus, lietotāju privātumu un sistēmu vispārējo funkcionalitāti. Daudzslāņu pieeja, kas apvieno tehnoloģijas, lietotāju izglītošanu un proaktīvas stratēģijas, ir būtiska, lai efektīvi mazinātu ļaunprātīgas programmatūras radītos riskus.