Вредоносное ПО Whiffy Recon

Специалисты по кибербезопасности обнаружили новый тип вредоносного ПО, сканирующего Wi-Fi, под названием Whiffy Recon. Угроза распространяется на машины Windows, которые уже были скомпрометированы. Киберпреступники, ответственные за атаку, используют пресловутое и угрожающее программное обеспечение SmokeLoader в качестве средства доставки Whiffy Recon.

Новый штамм вредоносного ПО выполняет особую функцию. Через регулярные промежутки в 60 секунд он выполняет процесс определения положения зараженных систем. Это достигается путем сканирования близлежащих точек доступа Wi-Fi с использованием собранных данных в качестве ориентиров для запроса API геолокации Google. Впоследствии полученная информация о местоположении из API геолокации Google передается обратно злоумышленнику, осуществившему эту операцию.

Whiffy Recon — узкоспециализированная угроза

Whiffy Recon сначала проверяет наличие службы WLAN AutoConfig (WLANSVC) в зараженной системе. Если имя службы не найдено, вредоносная программа завершает работу сама. Однако сканер не проверяет, работает ли служба.

Для обеспечения устойчивости создается ярлык, который добавляется в папку автозагрузки Windows.

Кроме того, вредоносная программа настроена на установление соединения с удаленным сервером управления и контроля (C2). Это достигается путем отправки случайно сгенерированного «botID» в HTTP-запросе POST. Сервер C2 отвечает сообщением об успехе и уникальным секретным идентификатором, который затем сохраняется в файле с именем «%APPDATA%\Roaming\wlan\str-12.bin».

Следующий этап атаки включает в себя сканирование точек доступа Wi-Fi с использованием Windows WLAN API каждые 60 секунд. Собранные результаты сканирования затем отправляются в API геолокации Google для определения точного местоположения скомпрометированной системы. Затем эта информация передается на сервер C2 в виде строки JSON.

Исследователи редко наблюдают случаи использования такого рода деятельности и возможностей преступниками. Хотя угрозе Whiffy Recon не хватает непосредственного потенциала для быстрой монетизации в качестве отдельной возможности, неопределенность, окружающая ее намерения, тревожит. Тревожная реальность заключается в том, что ее можно использовать для достижения широкого спектра небезопасных целей.

Что касается угрозы SmokeLoader, то, как следует из названия, эта вредоносная программа в первую очередь выполняет функцию загрузчика. Его единственная цель — перебросить дополнительные полезные данные на целевой хост. С 2014 года это вредоносное ПО доступно для покупки злоумышленникам, базирующимся в России. Обычно он распространяется через фишинговые электронные письма.

Установление мер против заражения вредоносным ПО имеет первостепенное значение

Крайне важно принять меры по противодействию заражению вредоносным ПО. Вредоносное или угрожающее программное обеспечение представляет собой значительную угрозу безопасности и функциональности компьютерных систем, сетей и данных. Эти угрозы варьируются от несанкционированного доступа до утечки данных, финансовых потерь и срыва критически важных операций. Установление эффективных мер против вредоносного ПО имеет важное значение для защиты цифровых активов и поддержания целостности систем.

• Регулярные обновления программного обеспечения . Вредоносное ПО часто использует известные уязвимости в операционных системах и программном обеспечении. Постоянное обновление всего вашего программного обеспечения путем добавления исправлений и обновлений безопасности имеет решающее значение для закрытия потенциальных точек проникновения вредоносного ПО.
• Обучение пользователей . Многие вредоносные атаки нацелены на пользователей с помощью тактик социальной инженерии, таких как фишинговые электронные письма или мошеннические загрузки. Информирование пользователей о рисках, связанных с нажатием на подозрительные ссылки, открытием вложений из неизвестных источников и использованием привычек безопасного просмотра, может значительно снизить риск заражения.
• Контроль доступа и управление привилегиями . Ограничение привилегий пользователей и прав доступа может ограничить потенциальное воздействие вредоносного ПО. Реализация принципа минимальных привилегий гарантирует, что пользователи будут иметь доступ только к тем ресурсам, которые необходимы для их ролей, уменьшая поверхность атаки для вредоносных программ.
• Резервное копирование и восстановление . Регулярное резервное копирование важных данных и систем необходимо для смягчения последствий атак программ-вымогателей. В случае заражения чистые данные можно восстановить, предотвращая потерю данных и попытки вымогательства.
• Сегментация сети . Сегментация сетей и изоляция критически важных систем от менее безопасных могут сдержать распространение вредоносного ПО. Если один сегмент скомпрометирован, вредоносному ПО будет сложнее распространиться по горизонтали и заразить другие части сети.
• Непрерывный мониторинг . Использование инструментов и методов обеспечения безопасности для непрерывного мониторинга помогает на раннем этапе обнаружения и предотвращения активности вредоносного ПО. Аномалии и подозрительное поведение могут быть быстро выявлены, что позволяет своевременно принять меры.
• Оценка поставщиков и программного обеспечения . Прежде чем интегрировать стороннее программное обеспечение или услуги в сеть, организации должны оценить свои меры безопасности и репутацию. Это помогает предотвратить случайное внедрение вредоносного ПО через скомпрометированное программное обеспечение.
• Сотрудничество и обмен информацией . Очень важно быть в курсе последних тенденций в области вредоносного ПО и методов атак. Сотрудничество с сообществами безопасности и обмен информацией об угрозах могут помочь в активной защите от развивающихся угроз вредоносного ПО.

В заключение, принятие мер против заражения вредоносным ПО имеет первостепенное значение для защиты цифровых активов, конфиденциальности пользователей и общей функциональности систем. Многоуровневый подход, сочетающий в себе технологии, обучение пользователей и упреждающие стратегии, необходим для эффективного снижения рисков, создаваемых вредоносным ПО.