Multilicenčné zľavy
Threat Database Malware Whiffy Recon Malware

Whiffy Recon Malware

Do roku Mezo v roku Malware
Preložiť do:
Slovenčina

Špecialisti na kybernetickú bezpečnosť odhalili nový typ malvéru na skenovanie Wi-Fi označovaný ako Whiffy Recon. Hrozba sa nasadzuje na počítače so systémom Windows, ktoré už boli napadnuté. Kyberzločinci zodpovední za útočnú operáciu používajú notoricky známy a hrozivý softvér SmokeLoader ako nosič pre Whiffy Recon.

Nový kmeň malvéru má jedinečnú funkciu. V pravidelných intervaloch 60 sekúnd vykonáva proces, pri ktorom zisťuje polohy infikovaných systémov. Dosahuje sa to vykonávaním skenovania blízkych prístupových bodov Wi-Fi, pričom zozbierané údaje sa používajú ako referenčné body na dopytovanie geolokačného API spoločnosti Google. Následne sa získané informácie o polohe z Geolocation API od Google prenesú späť k zlomyseľnému aktérovi, ktorý stojí za touto operáciou.

Whiffy Recon je vysoko špecializovaná hrozba

Whiffy Recon funguje tak, že najprv skontroluje prítomnosť služby WLAN AutoConfig (WLANSVC) v infikovanom systéme. Ak sa názov služby nenájde, malvér sa sám ukončí. Skener však neoveruje, či služba funguje.

Na dosiahnutie trvalosti sa vytvorí odkaz a pridá sa do priečinka Po spustení systému Windows.

Okrem toho je malvér nakonfigurovaný na vytvorenie spojenia so vzdialeným serverom Command-and-Control (C2). To sa dosiahne odoslaním náhodne vygenerovaného „botID“ v požiadavke HTTP POST. Server C2 odpovie správou o úspechu a jedinečným tajným identifikátorom, ktorý sa potom uloží do súboru s názvom '%APPDATA%\Roaming\wlan\str-12.bin.'

Ďalšia fáza útoku zahŕňa vykonávanie skenovania prístupových bodov Wi-Fi pomocou rozhrania Windows WLAN API každých 60 sekúnd. Zhromaždené výsledky skenovania sa potom odošlú do rozhrania Google Geolocation API na určenie presnej polohy napadnutého systému. Tieto informácie sa potom prenesú na server C2 vo forme reťazca JSON.

Výskumníci len zriedka pozorujú prípady tohto druhu činnosti a schopností, ktoré využívajú zločinci. Zatiaľ čo hrozbe Whiffy Recon chýba okamžitý potenciál na rýchle speňaženie ako samostatná schopnosť, neistoty okolo jej zámeru sú znepokojujúce. Znepokojujúcou realitou je, že by sa dal využiť na podporu širokej škály nebezpečných cieľov.

Pokiaľ ide o hrozbu SmokeLoader, ako už názov napovedá, tento malvér funguje primárne ako nakladač. Jeho jediným účelom je preniesť ďalšie užitočné zaťaženie na cieľový hostiteľ. Od roku 2014 si tento malvér môžu kúpiť aktéri hrozieb so sídlom v Rusku. Zvyčajne sa šíri prostredníctvom phishingových e-mailov.

Zavedenie opatrení proti malvérovým infekciám je prvoradé

Implementácia opatrení na boj proti malvérovým infekciám je nanajvýš dôležitá. Malvér alebo ohrozujúci softvér predstavuje významné hrozby pre bezpečnosť a funkčnosť počítačových systémov, sietí a údajov. Tieto hrozby siahajú od neoprávneného prístupu k narušeniu údajov, finančným stratám a narušeniu kritických operácií. Zavedenie účinných opatrení proti malvéru je nevyhnutné na ochranu digitálnych aktív a zachovanie integrity systémov.

  • Pravidelné aktualizácie softvéru : Škodlivý softvér často využíva známe zraniteľné miesta v operačných systémoch a softvéri. Aktualizácia celého softvéru pridávaním bezpečnostných opráv a aktualizácií je rozhodujúca pre zatvorenie potenciálnych vstupných bodov pre malvér.
  • Vzdelávanie používateľov : Mnoho útokov škodlivého softvéru sa zameriava na používateľov prostredníctvom taktík sociálneho inžinierstva, ako sú phishingové e-maily alebo klamlivé sťahovanie. Poučenie používateľov o rizikách klikania na podozrivé odkazy, otváranie príloh z neznámych zdrojov a používanie návykov bezpečného prehliadania môže výrazne znížiť riziko infekcie.
  • Kontrola prístupu a správa privilégií : Obmedzenie používateľských privilégií a prístupových práv môže obmedziť potenciálny vplyv malvéru. Implementácia princípu minimálneho privilégia zaisťuje, že používatelia majú prístup len k zdrojom potrebným pre ich roly, čím sa znižuje plocha útoku pre malvér.
  • Zálohovanie a obnova : Pravidelné zálohovanie základných údajov a systémov je nevyhnutné na zmiernenie dopadov útokov ransomware. V prípade infekcie je možné obnoviť čisté dáta, čím sa zabráni strate dát a pokusom o vydieranie.
  • Segmentácia siete : Segmentácia sietí a izolácia kritických systémov od menej bezpečných môže zabrániť šíreniu malvéru. Ak je ohrozený jeden segment, je pre malvér ťažšie presunúť sa do strany a infikovať ďalšie časti siete.
  • Nepretržité monitorovanie : Využívanie bezpečnostných nástrojov a postupov na nepretržité monitorovanie pomáha pri včasnej detekcii a prevencii škodlivých aktivít. Anomálie a podozrivé správanie je možné identifikovať okamžite, čo umožňuje včasný zásah.
  • Hodnotenie dodávateľa a softvéru : Pred integráciou softvéru alebo služieb tretích strán do siete by organizácie mali posúdiť svoje bezpečnostné opatrenia a reputáciu. Pomáha to zabrániť neúmyselnému zavedeniu škodlivého softvéru prostredníctvom napadnutého softvéru.
  • Spolupráca a zdieľanie informácií : Zostať informovaný o najnovších trendoch v oblasti malvéru a technikách útokov je kľúčový. Spolupráca s bezpečnostnými komunitami a zdieľanie informácií o hrozbách môže pomôcť pri proaktívnej obrane proti vyvíjajúcim sa hrozbám malvéru.

Na záver, zavedenie opatrení proti malvérovým infekciám je prvoradé pre ochranu digitálnych aktív, súkromia používateľov a celkovej funkčnosti systémov. Viacvrstvový prístup, ktorý kombinuje technológiu, vzdelávanie používateľov a proaktívne stratégie, je nevyhnutný na účinné zmierňovanie rizík, ktoré malvér predstavuje.

Trendy

Najviac videné

Načítava...