Złośliwe oprogramowanie Whiffy Recon

Specjaliści ds. cyberbezpieczeństwa odkryli nowy typ złośliwego oprogramowania skanującego Wi-Fi, określany jako Whiffy Recon. Zagrożenie jest wdrażane na komputerach z systemem Windows, które zostały już zhakowane. Cyberprzestępcy odpowiedzialni za operację ataku wykorzystują cieszące się złą sławą i groźne oprogramowanie SmokeLoader jako wektor dostawy Whiffy Recon.

Nowa odmiana złośliwego oprogramowania ma wyjątkową funkcję. W regularnych odstępach co 60 sekund przeprowadza proces, podczas którego określa położenie zainfekowanych systemów. Osiąga się to poprzez skanowanie pobliskich punktów dostępu Wi-Fi, wykorzystując zebrane dane jako punkty odniesienia do odpytywania API geolokalizacji Google. Następnie informacje o lokalizacji uzyskane z interfejsu API geolokalizacji Google są przesyłane z powrotem do złośliwego aktora odpowiedzialnego za tę operację.

Whiffy Recon to wysoce wyspecjalizowane zagrożenie

Whiffy Recon działa najpierw sprawdzając obecność usługi WLAN AutoConfig (WLANSVC) w zainfekowanym systemie. Jeśli nazwa usługi nie zostanie znaleziona, szkodliwe oprogramowanie samoczynnie się zakończy. Skaner nie sprawdza jednak, czy usługa działa.

Aby zapewnić trwałość, tworzony jest skrót i dodawany do folderu Autostart systemu Windows.

Co więcej, szkodliwe oprogramowanie jest skonfigurowane tak, aby nawiązywać połączenie ze zdalnym serwerem dowodzenia i kontroli (C2). Osiąga się to poprzez wysłanie losowo wygenerowanego identyfikatora „botID” w żądaniu HTTP POST. Serwer C2 odpowiada komunikatem o powodzeniu i unikalnym tajnym identyfikatorem, który jest następnie zapisywany w pliku o nazwie „%APPDATA%\Roaming\wlan\str-12.bin”.

Kolejna faza ataku polega na przeprowadzaniu skanowania punktów dostępu Wi-Fi przy użyciu interfejsu API WLAN systemu Windows co 60 sekund. Zebrane wyniki skanowania są następnie wysyłane do interfejsu Google Geolocation API w celu ustalenia dokładnej lokalizacji zaatakowanego systemu. Informacje te są następnie przesyłane do serwera C2 w postaci ciągu JSON.

Badacze rzadko obserwują przypadki wykorzystania tego rodzaju aktywności i zdolności przez podmioty przestępcze. Chociaż zagrożenie Whiffy Recon nie ma bezpośredniego potencjału do szybkiej monetyzacji jako samodzielnej funkcji, niepewność co do jego zamierzeń jest niepokojąca. Niepokojąca rzeczywistość jest taka, że można ją wykorzystać do wspierania szerokiego zakresu niebezpiecznych celów.

Wracając do zagrożenia SmokeLoader, jak sama nazwa wskazuje, to złośliwe oprogramowanie działa przede wszystkim jako moduł ładujący. Jego jedynym celem jest zrzucenie dodatkowych ładunków na docelowy host. Od 2014 r. to szkodliwe oprogramowanie jest dostępne do zakupu przez cyberprzestępców z Rosji. Zwykle rozprzestrzenia się za pośrednictwem wiadomości e-mail typu phishing.

Najważniejsze jest ustanowienie środków zapobiegających infekcjom złośliwym oprogramowaniem

Wdrożenie środków przeciwdziałających infekcjom złośliwym oprogramowaniem jest sprawą najwyższej wagi. Złośliwe oprogramowanie, czyli oprogramowanie stanowiące zagrożenie, stwarza poważne zagrożenia dla bezpieczeństwa i funkcjonalności systemów komputerowych, sieci i danych. Zagrożenia te obejmują nieautoryzowany dostęp do naruszeń danych, straty finansowe i zakłócenia krytycznych operacji. Ustanowienie skutecznych środków przeciwko złośliwemu oprogramowaniu jest niezbędne do ochrony zasobów cyfrowych i utrzymania integralności systemów.

• Regularne aktualizacje oprogramowania : złośliwe oprogramowanie często wykorzystuje znane luki w systemach operacyjnych i oprogramowaniu. Aktualizowanie całego oprogramowania poprzez dodawanie poprawek i aktualizacji zabezpieczeń ma kluczowe znaczenie w zamykaniu potencjalnych punktów wejścia dla złośliwego oprogramowania.
• Edukacja użytkowników : celem wielu ataków złośliwego oprogramowania jest wykorzystanie taktyk socjotechnicznych, takich jak e-maile phishingowe lub oszukańcze pliki do pobrania. Edukowanie użytkowników o ryzyku klikania podejrzanych linków, otwieraniu załączników z nieznanych źródeł i korzystaniu z nawyków bezpiecznego przeglądania może znacznie zmniejszyć ryzyko infekcji.
• Kontrola dostępu i zarządzanie uprawnieniami : Ograniczanie uprawnień użytkowników i praw dostępu może ograniczyć potencjalny wpływ złośliwego oprogramowania. Wdrożenie zasady minimalnych uprawnień gwarantuje, że użytkownicy będą mieli dostęp wyłącznie do zasobów niezbędnych do wykonywania ich ról, zmniejszając powierzchnię ataku złośliwego oprogramowania.
• Kopie zapasowe i odzyskiwanie : regularne tworzenie kopii zapasowych niezbędnych danych i systemów jest niezbędne, aby złagodzić skutki ataków oprogramowania ransomware. W przypadku infekcji można przywrócić czyste dane, zapobiegając utracie danych i próbom wyłudzeń.
• Segmentacja sieci : segmentacja sieci i izolowanie systemów krytycznych od mniej bezpiecznych może powstrzymać rozprzestrzenianie się złośliwego oprogramowania. Jeśli jeden segment zostanie naruszony, złośliwemu oprogramowaniu trudniej będzie przedostać się na bok i zainfekować inne części sieci.
• Ciągłe monitorowanie : Stosowanie narzędzi i praktyk bezpieczeństwa do ciągłego monitorowania pomaga we wczesnym wykrywaniu i zapobieganiu działaniom złośliwego oprogramowania. Anomalie i podejrzane zachowania można szybko zidentyfikować, co pozwala na szybką interwencję.
• Ocena dostawcy i oprogramowania : Przed integracją oprogramowania lub usług stron trzecich z siecią organizacje powinny ocenić swoje środki bezpieczeństwa i reputację. Pomaga to zapobiegać niezamierzonemu wprowadzeniu złośliwego oprogramowania poprzez zainfekowane oprogramowanie.
• Współpraca i udostępnianie informacji : bycie na bieżąco z najnowszymi trendami w zakresie szkodliwego oprogramowania i technikami ataków ma kluczowe znaczenie. Współpraca ze społecznościami zajmującymi się bezpieczeństwem i dzielenie się informacjami o zagrożeniach może pomóc w proaktywnej obronie przed ewoluującymi zagrożeniami związanymi ze złośliwym oprogramowaniem.

Podsumowując, ustanowienie środków zapobiegających infekcjom złośliwym oprogramowaniem ma ogromne znaczenie dla ochrony zasobów cyfrowych, prywatności użytkowników i ogólnej funkcjonalności systemów. Aby skutecznie ograniczyć ryzyko stwarzane przez złośliwe oprogramowanie, niezbędne jest wielowarstwowe podejście łączące technologię, edukację użytkowników i strategie proaktywne.