Whiffy Recon Malware

En ny type Wi-Fi-skanning skadelig programvare referert til som Whiffy Recon har blitt avdekket av nettsikkerhetsspesialister. Trusselen blir distribuert til Windows-maskiner som allerede er kompromittert. De nettkriminelle som er ansvarlige for angrepsoperasjonen, bruker den beryktede og truende SmokeLoader- programvaren som en leveringsvektor for Whiffy Recon.

Den nye stammen av skadelig programvare har en enestående funksjon. Med jevne mellomrom på 60 sekunder gjennomfører den en prosess der den bestemmer posisjonene til de infiserte systemene. Dette oppnås ved å utføre skanninger av nærliggende Wi-Fi-tilgangspunkter, ved å bruke de innsamlede dataene som referansepunkter for å søke etter Googles geolokaliserings-API. Deretter blir den innhentede posisjonsinformasjonen fra Googles Geolocation API overført tilbake til den ondsinnede aktøren bak denne operasjonen.

Whiffy Recon er en svært spesialisert trussel

Whiffy Recon fungerer ved først å sjekke for tilstedeværelsen av WLAN AutoConfig-tjenesten (WLANSVC) på det infiserte systemet. Hvis tjenestenavnet ikke blir funnet, avsluttes skadelig programvare av seg selv. Skanneren bekrefter imidlertid ikke om tjenesten fungerer.

For å oppnå utholdenhet opprettes en snarvei som legges til Windows Startup-mappen.

Videre er skadelig programvare konfigurert til å etablere en forbindelse med en ekstern Command-and-Control-server (C2). Dette oppnås ved å sende en tilfeldig generert 'botID' i en HTTP POST-forespørsel. C2-serveren svarer med en suksessmelding og en unik hemmelig identifikator, som deretter lagres i en fil som heter '%APPDATA%\Roaming\wlan\str-12.bin.'

Den neste fasen av angrepet innebærer å utføre skanninger etter Wi-Fi-tilgangspunkter ved hjelp av Windows WLAN API hvert 60. sekund. De innsamlede skanneresultatene sendes deretter til Google Geolocation API for å triangulere den nøyaktige plasseringen til det kompromitterte systemet. Denne informasjonen blir deretter overført til C2-serveren i form av en JSON-streng.

Forskere observerer sjelden tilfeller av denne typen aktivitet og evner som brukes av kriminelle aktører. Mens Whiffy Recon-trusselen mangler det umiddelbare potensialet for rask inntektsgenerering som en frittstående funksjon, er usikkerheten rundt intensjonen foruroligende. Den bekymringsfulle virkeligheten er at den kan brukes til å støtte et bredt spekter av usikre mål.

Når det gjelder SmokeLoader-trusselen, som navnet antyder, fungerer denne skadelige programvaren først og fremst som en laster. Dens eneste formål er å slippe ytterligere nyttelast på den målrettede verten. Siden 2014 har denne skadevaren vært tilgjengelig for kjøp av trusselaktører basert i Russland. Det spres vanligvis gjennom phishing-e-poster.

Etablering av tiltak mot skadelig programvare er avgjørende

Implementering av tiltak for å motvirke skadelig programvare er av største betydning. Skadelig programvare, eller truende programvare, utgjør betydelige trusler mot sikkerheten og funksjonaliteten til datasystemer, nettverk og data. Disse truslene spenner fra uautorisert tilgang til datainnbrudd, økonomiske tap og forstyrrelser av kritiske operasjoner. Å etablere effektive tiltak mot skadelig programvare er avgjørende for å beskytte digitale eiendeler og opprettholde systemenes integritet.

• Regelmessige programvareoppdateringer : Skadelig programvare utnytter ofte kjente sårbarheter i operativsystemer og programvare. Å holde all programvare oppdatert ved å legge til sikkerhetsoppdateringer og oppdateringer er avgjørende for å lukke potensielle inngangspunkter for skadelig programvare.
• Brukeropplæring : Mange malware-angrep retter seg mot brukere gjennom taktikk for sosial ingeniørkunst som phishing-e-post eller villedende nedlastinger. Å informere brukere om risikoen ved å klikke på mistenkelige lenker, åpne vedlegg fra ukjente kilder og bruke trygge surfevaner kan redusere risikoen for infeksjon betydelig.
• Tilgangskontroll og rettighetsadministrasjon : Begrensning av brukerprivilegier og tilgangsrettigheter kan begrense den potensielle effekten av skadelig programvare. Implementering av prinsippet om minimalt privilegium sikrer at brukerne bare har tilgang til ressursene som er nødvendige for rollene deres, noe som reduserer angrepsoverflaten for skadelig programvare.
• Sikkerhetskopiering og gjenoppretting : Regelmessig sikkerhetskopiering av viktige data og systemer er avgjørende for å redusere virkningen av løsepengevareangrep. Ved infeksjon kan rene data gjenopprettes, og forhindre tap av data og utpressingsforsøk.
• Nettverkssegmentering : Segmentering av nettverk og isolering av kritiske systemer fra mindre sikre kan inneholde spredning av skadelig programvare. Hvis ett segment er kompromittert, er det vanskeligere for skadelig programvare å bevege seg sideveis og infisere andre deler av nettverket.
• Kontinuerlig overvåking : Bruk av sikkerhetsverktøy og -praksis for kontinuerlig overvåking hjelper til med tidlig oppdagelse og forebygging av skadelig programvare. Anomalier og mistenkelig atferd kan identifiseres umiddelbart, noe som gir mulighet for rettidig intervensjon.
• Leverandør- og programvarevurdering : Før de integrerer tredjepartsprogramvare eller -tjenester i nettverket, bør organisasjoner vurdere sine sikkerhetstiltak og omdømme. Dette bidrar til å forhindre utilsiktet introduksjon av skadelig programvare gjennom kompromittert programvare.
• Samarbeid og informasjonsdeling : Det er avgjørende å holde seg informert om de siste malwaretrendene og angrepsteknikkene. Samarbeid med sikkerhetsmiljøer og deling av trusselintelligens kan hjelpe til med å proaktivt forsvare seg mot utviklende trusler mot skadelig programvare.

Konklusjonen er at det å etablere tiltak mot skadelig programvare er avgjørende for å ivareta digitale eiendeler, brukernes personvern og den generelle funksjonaliteten til systemene. En flerlags tilnærming som kombinerer teknologi, brukerutdanning og proaktive strategier er avgjørende for å redusere risikoen som skadelig programvare utgjør effektivt.