Zlonamerna programska oprema Whiffy Recon

Novo vrsto zlonamerne programske opreme za skeniranje Wi-Fi, imenovano Whiffy Recon, so odkrili strokovnjaki za kibernetsko varnost. Grožnja se uvaja na stroje Windows, ki so že bili ogroženi. Kibernetski kriminalci, odgovorni za operacijo napada, uporabljajo zloglasno in nevarno programsko opremo SmokeLoader kot vektor dostave za Whiffy Recon.

Nova vrsta zlonamerne programske opreme ima edinstveno funkcijo. V rednih intervalih po 60 sekund izvaja proces, kjer ugotavlja položaje okuženih sistemov. To se doseže z izvajanjem skeniranja bližnjih dostopnih točk Wi-Fi z uporabo zbranih podatkov kot referenčnih točk za poizvedovanje Googlovega geolokacijskega API-ja. Nato se podatki o lokaciji, pridobljeni iz Googlovega API-ja za geolokacijo, pošljejo nazaj zlonamernemu akterju, ki stoji za to operacijo.

Whiffy Recon je visoko specializirana grožnja

Whiffy Recon deluje tako, da najprej preveri prisotnost storitve WLAN AutoConfig (WLANSVC) v okuženem sistemu. Če imena storitve ni mogoče najti, se zlonamerna programska oprema sama ustavi. Vendar skener ne preveri, ali storitev deluje.

Da bi dosegli obstojnost, se ustvari bližnjica in doda v zagonsko mapo Windows.

Poleg tega je zlonamerna programska oprema konfigurirana za vzpostavitev povezave z oddaljenim strežnikom za upravljanje in nadzor (C2). To se doseže s pošiljanjem naključno ustvarjenega 'botID' v zahtevi HTTP POST. Strežnik C2 se odzove s sporočilom o uspehu in edinstvenim tajnim identifikatorjem, ki se nato shrani v datoteko z imenom '%APPDATA%\Roaming\wlan\str-12.bin.'

Naslednja faza napada vključuje izvajanje skeniranja dostopnih točk Wi-Fi z uporabo Windows WLAN API vsakih 60 sekund. Zbrani rezultati skeniranja se nato pošljejo Googlovemu API-ju Geolocation za triangulacijo natančne lokacije ogroženega sistema. Te informacije se nato prenesejo na strežnik C2 v obliki niza JSON.

Raziskovalci le redko opažajo primere tovrstnih dejavnosti in sposobnosti, ki jih uporabljajo kriminalci. Medtem ko grožnja Whiffy Recon nima takojšnjega potenciala za hitro monetizacijo kot samostojna zmogljivost, so negotovosti v zvezi z njenim namenom vznemirjajoče. Zaskrbljujoča resničnost je, da bi jo lahko uporabili za podporo širokemu naboru nevarnih ciljev.

Če se obrnemo na grožnjo SmokeLoader, kot že ime pove, ta zlonamerna programska oprema deluje predvsem kot nalagalnik. Njegov edini namen je spustiti dodatne koristne obremenitve na ciljnega gostitelja. Od leta 2014 je ta zlonamerna programska oprema na voljo za nakup akterjem groženj s sedežem v Rusiji. Običajno se širi prek lažnih e-poštnih sporočil.

Vzpostavitev ukrepov proti okužbam z zlonamerno programsko opremo je najpomembnejša

Izvajanje ukrepov za preprečevanje okužb z zlonamerno programsko opremo je izjemnega pomena. Zlonamerna programska oprema ali grozeča programska oprema predstavlja resno grožnjo varnosti in funkcionalnosti računalniških sistemov, omrežij in podatkov. Te grožnje segajo od nepooblaščenega dostopa do kršitev podatkov, finančnih izgub in motenj kritičnih operacij. Vzpostavitev učinkovitih ukrepov proti zlonamerni programski opremi je bistvena za zaščito digitalnih sredstev in ohranjanje celovitosti sistemov.

• Redne posodobitve programske opreme : zlonamerna programska oprema pogosto izkorišča znane ranljivosti v operacijskih sistemih in programski opremi. Posodabljanje celotne programske opreme z dodajanjem varnostnih popravkov in posodobitev je ključnega pomena za zapiranje potencialnih vstopnih točk za zlonamerno programsko opremo.
• Izobraževanje uporabnikov : Številni napadi z zlonamerno programsko opremo ciljajo na uporabnike s taktikami socialnega inženiringa, kot so e-poštna sporočila z lažnim predstavljanjem ali zavajajoči prenosi. Izobraževanje uporabnikov o tveganjih klikanja sumljivih povezav, odpiranja priponk iz neznanih virov in uporabe navad varnega brskanja lahko bistveno zmanjša tveganje okužbe.
• Nadzor dostopa in upravljanje privilegijev : Omejitev uporabniških privilegijev in pravic dostopa lahko omeji potencialni vpliv zlonamerne programske opreme. Implementacija načela minimalnih privilegijev zagotavlja, da imajo uporabniki dostop samo do virov, ki so potrebni za njihove vloge, kar zmanjšuje površino napadov za zlonamerno programsko opremo.
• Varnostno kopiranje in obnovitev : Redno varnostno kopiranje bistvenih podatkov in sistemov je bistvenega pomena za ublažitev vpliva napadov izsiljevalske programske opreme. V primeru okužbe je mogoče obnoviti čiste podatke, kar prepreči izgubo podatkov in poskuse izsiljevanja.
• Segmentacija omrežja : Segmentacija omrežij in izolacija kritičnih sistemov od manj varnih lahko zadrži širjenje zlonamerne programske opreme. Če je en segment ogrožen, se zlonamerna programska oprema težje premakne bočno in okuži druge dele omrežja.
• Nenehno spremljanje : uporaba varnostnih orodij in praks za neprekinjeno spremljanje pomaga pri zgodnjem odkrivanju in preprečevanju dejavnosti zlonamerne programske opreme. Nepravilnosti in sumljivo vedenje je mogoče prepoznati takoj, kar omogoča pravočasno posredovanje.
• Ocena prodajalca in programske opreme : Pred integracijo programske opreme ali storitev tretjih oseb v omrežje morajo organizacije oceniti svoje varnostne ukrepe in ugled. To pomaga preprečiti nenamerno vnos zlonamerne programske opreme prek ogrožene programske opreme.
• Sodelovanje in izmenjava informacij : Biti obveščen o najnovejših trendih zlonamerne programske opreme in tehnikah napada je ključnega pomena. Sodelovanje z varnostnimi skupnostmi in izmenjava podatkov o grožnjah lahko pomagata pri proaktivni obrambi pred razvijajočimi se grožnjami zlonamerne programske opreme.

Skratka, vzpostavitev ukrepov proti okužbam z zlonamerno programsko opremo je najpomembnejša za zaščito digitalnih sredstev, zasebnosti uporabnikov in celotne funkcionalnosti sistemov. Večplastni pristop, ki združuje tehnologijo, izobraževanje uporabnikov in proaktivne strategije, je bistvenega pomena za učinkovito ublažitev tveganj, ki jih predstavlja zlonamerna programska oprema.