Whiffy Recon Malware

Jenis perisian hasad pengimbasan Wi-Fi baharu yang dirujuk sebagai Whiffy Recon telah ditemui oleh pakar keselamatan siber. Ancaman sedang digunakan pada mesin Windows yang telah dikompromi. Penjenayah siber yang bertanggungjawab untuk operasi serangan menggunakan perisian SmokeLoader yang terkenal dan mengancam sebagai vektor penghantaran untuk Whiffy Recon.

Jenis baru perisian hasad mempunyai fungsi tunggal. Pada selang masa tetap 60 saat, ia menjalankan proses di mana ia menentukan kedudukan sistem yang dijangkiti. Ini dicapai dengan menjalankan imbasan titik akses Wi-Fi berdekatan, menggunakan data yang dikumpul sebagai titik rujukan untuk menanyakan API geolokasi Google. Selepas itu, maklumat lokasi yang diperoleh daripada API Geolokasi Google dihantar kembali kepada pelakon berniat jahat di sebalik operasi ini.

The Whiffy Recon ialah Ancaman Sangat Khusus

Whiffy Recon beroperasi dengan terlebih dahulu menyemak kehadiran perkhidmatan WLAN AutoConfig (WLANSVC) pada sistem yang dijangkiti. Jika nama perkhidmatan tidak ditemui, perisian hasad akan ditamatkan sendiri. Walau bagaimanapun, pengimbas tidak mengesahkan sama ada perkhidmatan tersebut berfungsi.

Untuk mencapai kegigihan, pintasan dibuat dan ditambah pada folder Windows Startup.

Tambahan pula, perisian hasad dikonfigurasikan untuk mewujudkan sambungan dengan pelayan Command-and-Control (C2) jauh. Ini dicapai dengan menghantar 'botID' yang dijana secara rawak dalam permintaan HTTP POST. Pelayan C2 bertindak balas dengan mesej kejayaan dan pengecam rahsia unik, yang kemudiannya disimpan dalam fail bernama '%APPDATA%\Roaming\wlan\str-12.bin.'

Fasa serangan seterusnya melibatkan menjalankan imbasan untuk titik akses Wi-Fi menggunakan API WLAN Windows setiap 60 saat. Hasil imbasan yang dikumpul kemudiannya dihantar ke API Geolokasi Google untuk menyegitiga lokasi tepat sistem yang terjejas. Maklumat ini kemudiannya dihantar ke pelayan C2 dalam bentuk rentetan JSON.

Penyelidik jarang memerhatikan contoh aktiviti dan keupayaan seperti ini digunakan oleh penjenayah. Walaupun ancaman Whiffy Recon tidak mempunyai potensi segera untuk pengewangan pantas sebagai keupayaan kendiri, ketidakpastian yang menyelubungi niatnya meresahkan. Realiti yang membimbangkan ialah ia boleh dimanfaatkan untuk menyokong pelbagai objektif yang tidak selamat.

Beralih kepada ancaman SmokeLoader, seperti namanya, perisian hasad ini berfungsi terutamanya sebagai pemuat. Tujuan tunggalnya adalah untuk menurunkan muatan tambahan ke hos yang disasarkan. Sejak 2014, perisian hasad ini telah tersedia untuk dibeli oleh pelakon ancaman yang berpangkalan di Rusia. Ia biasanya disebarkan melalui e-mel pancingan data.

Mewujudkan Langkah-Langkah terhadap Jangkitan Perisian Hasad adalah Yang Utama

Melaksanakan langkah-langkah untuk mengatasi jangkitan perisian hasad adalah amat penting. Perisian hasad, atau perisian yang mengancam, menimbulkan ancaman besar kepada keselamatan dan kefungsian sistem komputer, rangkaian dan data. Ancaman ini terdiri daripada akses tanpa kebenaran kepada pelanggaran data, kerugian kewangan dan gangguan operasi kritikal. Mewujudkan langkah berkesan terhadap perisian hasad adalah penting untuk melindungi aset digital dan mengekalkan integriti sistem.

• Kemas Kini Perisian Biasa : Perisian hasad sering mengeksploitasi kelemahan yang diketahui dalam sistem pengendalian dan perisian. Mengemas kini semua perisian anda dengan menambahkan tampung keselamatan dan kemas kini adalah penting untuk menutup kemungkinan pintu masuk untuk perisian hasad.
• Pendidikan Pengguna : Banyak serangan perisian hasad menyasarkan pengguna melalui taktik kejuruteraan sosial seperti e-mel pancingan data atau muat turun yang mengelirukan. Mendidik pengguna tentang risiko mengklik pautan yang mencurigakan, membuka lampiran daripada sumber yang tidak diketahui dan menggunakan tabiat penyemakan imbas yang selamat boleh mengurangkan risiko jangkitan dengan ketara.
• Kawalan Akses dan Pengurusan Keistimewaan : Mengehadkan keistimewaan pengguna dan hak akses boleh menyekat potensi kesan perisian hasad. Melaksanakan prinsip keistimewaan minimum memastikan pengguna hanya mempunyai akses kepada sumber yang diperlukan untuk peranan mereka, mengurangkan permukaan serangan untuk perisian hasad.
• Sandaran dan Pemulihan : Menyandarkan data dan sistem penting secara kerap adalah penting untuk mengurangkan kesan serangan perisian tebusan. Sekiranya berlaku jangkitan, data bersih boleh dipulihkan, menghalang kehilangan data dan percubaan pemerasan.
• Pembahagian Rangkaian : Membahagikan rangkaian dan mengasingkan sistem kritikal daripada yang kurang selamat boleh mengandungi penyebaran perisian hasad. Jika satu segmen terjejas, lebih sukar bagi perisian hasad untuk bergerak ke sisi dan menjangkiti bahagian rangkaian yang lain.
• Pemantauan Berterusan : Menggunakan alat dan amalan keselamatan untuk pemantauan berterusan membantu dalam pengesanan awal dan pencegahan aktiviti perisian hasad. Anomali dan tingkah laku yang mencurigakan boleh dikenal pasti dengan segera, membolehkan campur tangan tepat pada masanya.
• Penilaian Penjual dan Perisian : Sebelum menyepadukan perisian atau perkhidmatan pihak ketiga ke dalam rangkaian, organisasi harus menilai langkah keselamatan dan reputasi mereka. Ini membantu mengelakkan daripada memperkenalkan perisian hasad secara tidak sengaja melalui perisian yang terjejas.
• Kerjasama dan Perkongsian Maklumat : Mengekalkan maklumat tentang trend perisian hasad terkini dan teknik serangan adalah penting. Bekerjasama dengan komuniti keselamatan dan berkongsi perisikan ancaman boleh membantu dalam mempertahankan secara proaktif terhadap ancaman perisian hasad yang berkembang.

Kesimpulannya, mewujudkan langkah-langkah terhadap jangkitan perisian hasad adalah penting untuk melindungi aset digital, privasi pengguna dan kefungsian keseluruhan sistem. Pendekatan berbilang lapisan yang menggabungkan teknologi, pendidikan pengguna dan strategi proaktif adalah penting untuk mengurangkan risiko yang ditimbulkan oleh perisian hasad dengan berkesan.