Whiffy Recon Malware

Un nou tip de malware de scanare Wi-Fi, denumit Whiffy Recon, a fost descoperit de specialiștii în securitate cibernetică. Amenințarea este implementată pe mașinile Windows care au fost deja compromise. Criminalii cibernetici responsabili de operațiunea de atac folosesc notoriul și amenințătorul software SmokeLoader ca vector de livrare pentru Whiffy Recon.

Noua tulpină de malware are o funcție singulară. La intervale regulate de 60 de secunde, efectuează un proces în care determină pozițiile sistemelor infectate. Acest lucru se realizează prin efectuarea de scanări ale punctelor de acces Wi-Fi din apropiere, folosind datele colectate ca puncte de referință pentru interogarea API-ului de geolocalizare Google. Ulterior, informațiile de locație obținute din API-ul de geolocalizare Google sunt transmise înapoi actorului rău intenționat din spatele acestei operațiuni.

Whiffy Recon este o amenințare extrem de specializată

Whiffy Recon operează verificând mai întâi prezența serviciului WLAN AutoConfig (WLANSVC) pe sistemul infectat. Dacă numele serviciului nu este găsit, malware-ul se termină singur. Cu toate acestea, scanerul nu verifică dacă serviciul funcționează.

Pentru a obține persistență, o comandă rapidă este creată și adăugată în folderul Windows Startup.

În plus, malware-ul este configurat pentru a stabili o conexiune cu un server de comandă și control la distanță (C2). Acest lucru se realizează prin trimiterea unui „botID” generat aleatoriu într-o solicitare HTTP POST. Serverul C2 răspunde cu un mesaj de succes și un identificator secret unic, care este apoi stocat într-un fișier numit „%APPDATA%\Roaming\wlan\str-12.bin”.

Următoarea fază a atacului implică efectuarea de scanări pentru puncte de acces Wi-Fi folosind API-ul Windows WLAN la fiecare 60 de secunde. Rezultatele scanării colectate sunt apoi trimise la API-ul Google Geolocation pentru a triangula locația precisă a sistemului compromis. Aceste informații sunt apoi transmise serverului C2 sub forma unui șir JSON.

Cercetătorii observă rareori cazuri în care acest tip de activitate și capacitate sunt folosite de actori criminali. În timp ce amenințarea Whiffy Recon nu are potențialul imediat de monetizare rapidă ca capacitate de sine stătătoare, incertitudinile legate de intenția sa sunt neliniștitoare. Realitatea îngrijorătoare este că ar putea fi valorificată pentru a sprijini o gamă largă de obiective nesigure.

Revenind la amenințarea SmokeLoader, după cum sugerează și numele, acest malware funcționează în primul rând ca încărcător. Singurul său scop este să arunce încărcături suplimentare pe gazda vizată. Din 2014, acest malware este disponibil pentru cumpărare de către actorii amenințărilor din Rusia. Este de obicei propagat prin e-mailuri de phishing.

Stabilirea măsurilor împotriva infecțiilor cu programe malware este esențială

Implementarea măsurilor de contracarare a infecțiilor malware este de cea mai mare importanță. Programele malware sau software-ul amenințător reprezintă amenințări semnificative la adresa securității și funcționalității sistemelor informatice, rețelelor și datelor. Aceste amenințări variază de la acces neautorizat la încălcări ale datelor, pierderi financiare și întrerupere a operațiunilor critice. Stabilirea de măsuri eficiente împotriva programelor malware este esențială pentru a proteja activele digitale și pentru a menține integritatea sistemelor.

• Actualizări regulate de software : programele malware exploatează adesea vulnerabilitățile cunoscute în sistemele de operare și software. Păstrarea întregului software actualizat prin adăugarea de corecții și actualizări de securitate este crucială pentru a închide potențialele puncte de intrare pentru malware.
• Educația utilizatorilor : multe atacuri malware vizează utilizatorii prin tactici de inginerie socială, cum ar fi e-mailurile de phishing sau descărcări înșelătoare. Educarea utilizatorilor cu privire la riscurile de a face clic pe linkuri suspecte, deschiderea atașamentelor din surse necunoscute și utilizarea obiceiurilor de navigare sigure poate reduce semnificativ riscul de infecție.
• Controlul accesului și gestionarea privilegiilor : limitarea privilegiilor utilizatorului și a drepturilor de acces poate limita impactul potențial al malware-ului. Implementarea principiului privilegiului minim asigură faptul că utilizatorii au acces doar la resursele necesare rolurilor lor, reducând suprafața de atac pentru malware.
• Backup și recuperare : este esențială să faceți în mod regulat copii de siguranță ale datelor și sistemelor esențiale pentru a atenua impactul atacurilor ransomware. În caz de infecție, datele curate pot fi restaurate, prevenind pierderea datelor și încercările de extorcare.
• Segmentarea rețelelor : Segmentarea rețelelor și izolarea sistemelor critice de cele mai puțin sigure pot conține răspândirea malware-ului. Dacă un segment este compromis, este mai dificil ca malware-ul să se miște lateral și să infecteze alte părți ale rețelei.
• Monitorizare continuă : Utilizarea instrumentelor și practicilor de securitate pentru monitorizarea continuă ajută la detectarea timpurie și prevenirea activităților malware. Anomaliile și comportamentul suspect pot fi identificate cu promptitudine, permițând intervenția în timp util.
• Evaluarea furnizorilor și a software-ului : înainte de a integra software-ul sau serviciile terților în rețea, organizațiile ar trebui să-și evalueze măsurile de securitate și reputația. Acest lucru ajută la prevenirea introducerii involuntare de programe malware prin intermediul software-ului compromis.
• Colaborare și partajare a informațiilor : este esențial să fiți informat cu privire la cele mai recente tendințe de malware și tehnici de atac. Colaborarea cu comunitățile de securitate și partajarea informațiilor despre amenințări poate ajuta la apărarea proactivă împotriva amenințărilor malware în evoluție.

În concluzie, stabilirea măsurilor împotriva infecțiilor cu malware este esențială pentru protejarea activelor digitale, a confidențialității utilizatorilor și a funcționalității generale a sistemelor. O abordare pe mai multe straturi care combină tehnologia, educația utilizatorilor și strategiile proactive este esențială pentru a atenua în mod eficient riscurile prezentate de malware.