Whiffy Recon मालवेयर

Whiffy Recon भनिने नयाँ प्रकारको Wi-Fi स्क्यानिङ मालवेयर साइबरसुरक्षा विशेषज्ञहरूले पत्ता लगाएको छ। धम्की विन्डोज मेशिनहरूमा तैनाथ गरिएको छ जुन पहिले नै सम्झौता गरिएको छ। आक्रमण अपरेशनको लागि जिम्मेवार साइबर अपराधीहरूले कुख्यात र धम्की दिने SmokeLoader सफ्टवेयरलाई Whiffy Recon को लागि डेलिभरी भेक्टरको रूपमा प्रयोग गर्दैछन्।

मालवेयरको उपन्यास स्ट्रेनको एकल प्रकार्य छ। 60 सेकेन्डको नियमित अन्तरालमा, यसले एक प्रक्रिया पूरा गर्दछ जहाँ यसले संक्रमित प्रणालीहरूको स्थिति निर्धारण गर्दछ। यो गुगलको भौगोलिक एपीआई क्वेरी गर्नको लागि सन्दर्भ बिन्दुहरूको रूपमा सङ्कलन डाटा प्रयोग गरेर, नजिकैको Wi-Fi पहुँच बिन्दुहरूको स्क्यानहरू सञ्चालन गरेर प्राप्त गरिन्छ। पछि, गुगलको जियोलोकेशन एपीआईबाट प्राप्त गरिएको स्थान जानकारी यस अपरेशनको पछाडिको मालिसियस अभिनेतालाई फिर्ता पठाइन्छ।

Whiffy Recon एक उच्च विशिष्ट खतरा हो

Whiffy Recon ले पहिलो पटक संक्रमित प्रणालीमा WLAN AutoConfig सेवा (WLANSVC) को उपस्थितिको लागि जाँच गरेर सञ्चालन गर्दछ। यदि सेवा नाम फेला परेन भने, मालवेयर आफैं समाप्त हुन्छ। यद्यपि, स्क्यानरले सेवा काम गरिरहेको छ कि छैन भनेर प्रमाणित गर्दैन।

दृढता प्राप्त गर्न, सर्टकट सिर्जना गरिएको छ र Windows स्टार्टअप फोल्डरमा थपिएको छ।

यसबाहेक, मालवेयर रिमोट कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरसँग जडान स्थापना गर्न कन्फिगर गरिएको छ। यो HTTP POST अनुरोधमा अनियमित रूपमा उत्पन्न 'botID' पठाएर प्राप्त हुन्छ। C2 सर्भरले सफलता सन्देश र एक अद्वितीय गोप्य पहिचानकर्ताको साथ प्रतिक्रिया दिन्छ, जुन त्यसपछि '%APPDATA%\Roaming\wlan\str-12.bin' नामक फाइलमा भण्डारण गरिन्छ।

आक्रमणको अर्को चरणमा हरेक ६० सेकेन्डमा Windows WLAN API प्रयोग गरेर Wi-Fi पहुँच बिन्दुहरूको लागि स्क्यानहरू सञ्चालन गर्ने समावेश छ। सङ्कलन गरिएका स्क्यान परिणामहरू गुगल जियोलोकेशन एपीआईमा पठाइन्छ र सम्झौता गरिएको प्रणालीको सटीक स्थानको त्रिभुज गर्न। यो जानकारी त्यसपछि JSON स्ट्रिङको रूपमा C2 सर्भरमा पठाइन्छ।

अन्वेषकहरूले यस प्रकारको गतिविधि र क्षमतालाई आपराधिक अभिनेताहरूले प्रयोग गरेको उदाहरणहरू विरलै देख्छन्। जबकि Whiffy Recon खतरा एक स्ट्यान्डअलोन क्षमता को रूप मा द्रुत मुद्रीकरण को लागी तत्काल सम्भाव्यता को अभाव छ, यसको उद्देश्य वरपरको अनिश्चितताहरु असन्तुष्ट छन्। सम्बन्धित वास्तविकता यो हो कि यसलाई असुरक्षित उद्देश्यहरूको विस्तृत श्रृंखलालाई समर्थन गर्न प्रयोग गर्न सकिन्छ।

SmokeLoader खतरामा फर्केर, नामले सुझाव दिन्छ, यो मालवेयरले मुख्य रूपमा लोडरको रूपमा कार्य गर्दछ। यसको एकमात्र उद्देश्य लक्षित होस्टमा अतिरिक्त पेलोडहरू छोड्नु हो। 2014 देखि, यो मालवेयर रूस मा आधारित खतरा अभिनेताहरु द्वारा खरीद को लागी उपलब्ध छ। यो सामान्यतया फिसिङ इमेल मार्फत प्रचार गरिन्छ।

मालवेयर संक्रमणहरू विरुद्ध उपायहरू स्थापना गर्नु सर्वोपरि छ

मालवेयर संक्रमणहरूको प्रतिरोध गर्न उपायहरू लागू गर्नु अत्यन्त महत्त्वपूर्ण छ। मालवेयर, वा धम्की दिने सफ्टवेयरले कम्प्युटर प्रणाली, नेटवर्क र डाटाको सुरक्षा र कार्यक्षमतामा महत्त्वपूर्ण खतराहरू खडा गर्छ। यी धम्कीहरू डाटा उल्लङ्घन, वित्तीय नोक्सान, र महत्वपूर्ण कार्यहरूको अवरोधमा अनधिकृत पहुँचबाट दायरा हुन्छन्। डिजिटल सम्पत्तिहरू जोगाउन र प्रणालीहरूको अखण्डता कायम राख्न मालवेयर विरुद्ध प्रभावकारी उपायहरू स्थापना गर्नु आवश्यक छ।

• नियमित सफ्टवेयर अपडेटहरू : मालवेयरले प्राय: अपरेटिङ सिस्टम र सफ्टवेयरमा ज्ञात कमजोरीहरूको शोषण गर्छ। सुरक्षा प्याचहरू र अद्यावधिकहरू थपेर तपाईंको सबै सफ्टवेयर अद्यावधिक राख्नु मालवेयरका लागि सम्भावित प्रविष्टि बिन्दुहरू बन्द गर्न महत्त्वपूर्ण छ।
• प्रयोगकर्ता शिक्षा : धेरै मालवेयर आक्रमणहरूले फिसिङ इमेलहरू वा भ्रामक डाउनलोडहरू जस्ता सामाजिक इन्जिनियरिङ रणनीतिहरू मार्फत प्रयोगकर्ताहरूलाई लक्षित गर्छन्। संदिग्ध लिङ्कहरूमा क्लिक गर्दा, अज्ञात स्रोतहरूबाट संलग्नकहरू खोल्ने, र सुरक्षित ब्राउजिङ बानीहरू प्रयोग गर्ने जोखिमहरू बारे प्रयोगकर्ताहरूलाई शिक्षा दिनुले संक्रमणको जोखिमलाई उल्लेखनीय रूपमा कम गर्न सक्छ।
• पहुँच नियन्त्रण र विशेषाधिकार व्यवस्थापन : प्रयोगकर्ता विशेषाधिकार र पहुँच अधिकार सीमित गर्नाले मालवेयरको सम्भावित प्रभावलाई प्रतिबन्धित गर्न सक्छ। न्यूनतम विशेषाधिकारको सिद्धान्तलाई लागू गर्नाले प्रयोगकर्ताहरूलाई तिनीहरूको भूमिकाका लागि आवश्यक स्रोतहरूमा मात्र पहुँच छ भनी सुनिश्चित गर्दछ, जसले मालवेयरको आक्रमणको सतहलाई कम गर्छ।
• ब्याकअप र रिकभरी : ransomware आक्रमणहरूको प्रभावलाई कम गर्न आवश्यक डाटा र प्रणालीहरू नियमित रूपमा ब्याकअप गर्नु आवश्यक छ। संक्रमणको अवस्थामा, सफा डाटा पुनर्स्थापित गर्न सकिन्छ, डाटा हराउन र जबरजस्ती प्रयासहरू रोक्न।
• सञ्जाल विभाजन : सञ्जालहरू विभाजन गर्न र कम सुरक्षित व्यक्तिहरूबाट महत्वपूर्ण प्रणालीहरू अलग गर्दा मालवेयरको फैलावट हुन सक्छ। यदि एउटा खण्डमा सम्झौता गरिएको छ भने, मालवेयरलाई पार्श्व सार्न र नेटवर्कको अन्य भागहरूलाई संक्रमित गर्न अझ गाह्रो हुन्छ।
• निरन्तर निगरानी : निरन्तर निगरानीको लागि सुरक्षा उपकरण र अभ्यासहरू प्रयोग गर्दा मालवेयर गतिविधिहरूको प्रारम्भिक पत्ता लगाउन र रोकथाम गर्न मद्दत गर्दछ। विसंगतिहरू र संदिग्ध व्यवहार तुरुन्तै पहिचान गर्न सकिन्छ, समयमै हस्तक्षेपको लागि अनुमति दिँदै।
• विक्रेता र सफ्टवेयर मूल्याङ्कन : नेटवर्कमा तेस्रो-पक्ष सफ्टवेयर वा सेवाहरू एकीकृत गर्नु अघि, संगठनहरूले उनीहरूको सुरक्षा उपायहरू र प्रतिष्ठाको मूल्याङ्कन गर्नुपर्छ। यसले सम्झौता गरिएको सफ्टवेयर मार्फत अनजानमा मालवेयरको परिचय रोक्न मद्दत गर्दछ।
• सहयोग र सूचना साझेदारी : नवीनतम मालवेयर प्रवृति र आक्रमण प्रविधिहरूको बारेमा जानकारी रहनु महत्त्वपूर्ण छ। सुरक्षा समुदायहरूसँग सहकार्य र खतरा खुफिया साझेदारी गर्नाले मालवेयर खतराहरू विरुद्ध सक्रिय रूपमा रक्षा गर्न मद्दत गर्न सक्छ।

अन्तमा, डिजिटल सम्पत्ति, प्रयोगकर्ताको गोपनीयता र प्रणालीहरूको समग्र कार्यक्षमताको सुरक्षा गर्न मालवेयर संक्रमणहरू विरुद्ध उपायहरू स्थापना गर्नु सर्वोपरि छ। प्रविधि, प्रयोगकर्ता शिक्षा, र सक्रिय रणनीतिहरू संयोजन गर्ने बहु-स्तरित दृष्टिकोण मालवेयरद्वारा उत्पन्न जोखिमहरूलाई प्रभावकारी रूपमा कम गर्न आवश्यक छ।