Whiffy Recon Malware

En ny typ av skadlig programvara för Wi-Fi-skanning, kallad Whiffy Recon, har upptäckts av cybersäkerhetsspecialister. Hotet distribueras till Windows-datorer som redan har äventyrats. De cyberbrottslingar som är ansvariga för attacken använder den ökända och hotfulla SmokeLoader -mjukvaran som leveransvektor för Whiffy Recon.

Den nya stammen av skadlig programvara har en unik funktion. Med jämna mellanrum på 60 sekunder genomför den en process där den bestämmer positionerna för de infekterade systemen. Detta uppnås genom att utföra skanningar av närliggande Wi-Fi-åtkomstpunkter och använda den insamlade informationen som referenspunkter för att söka efter Googles geolokaliserings-API. Därefter överförs den erhållna platsinformationen från Googles Geolocation API tillbaka till den illvilliga aktören bakom denna operation.

Whiffy Recon är ett mycket specialiserat hot

Whiffy Recon fungerar genom att först kontrollera förekomsten av WLAN AutoConfig-tjänsten (WLANSVC) på det infekterade systemet. Om tjänstens namn inte hittas avslutas skadlig programvara av sig själv. Skannern verifierar dock inte om tjänsten fungerar.

För att uppnå uthållighet skapas en genväg som läggs till i Windows Startup-mapp.

Dessutom är skadlig programvara konfigurerad för att upprätta en anslutning till en fjärrstyrd Command-and-Control-server (C2). Detta uppnås genom att skicka ett slumpmässigt genererat 'botID' i en HTTP POST-förfrågan. C2-servern svarar med ett framgångsmeddelande och en unik hemlig identifierare, som sedan lagras i en fil med namnet '%APPDATA%\Roaming\wlan\str-12.bin.'

Nästa fas av attacken innebär att man ska söka efter Wi-Fi-åtkomstpunkter med hjälp av Windows WLAN API var 60:e sekund. De insamlade skanningsresultaten skickas sedan till Google Geolocation API för att triangulera den exakta platsen för det komprometterade systemet. Denna information överförs sedan till C2-servern i form av en JSON-sträng.

Forskare ser sällan fall av denna typ av verksamhet och förmåga som används av kriminella aktörer. Medan Whiffy Recon-hotet saknar den omedelbara potentialen för snabb intäktsgenerering som en fristående förmåga, är osäkerheten kring dess avsikt oroande. Den oroande verkligheten är att den skulle kunna utnyttjas för att stödja en lång rad osäkra mål.

Om vi vänder oss till SmokeLoader-hotet, som namnet antyder, fungerar denna skadliga programvara främst som en laddare. Dess enda syfte är att släppa ytterligare nyttolaster på den riktade värden. Sedan 2014 har denna skadliga programvara varit tillgänglig för köp av hotaktörer baserade i Ryssland. Det sprids vanligtvis genom nätfiske-e-post.

Att införa åtgärder mot infektioner med skadlig programvara är avgörande

Att genomföra åtgärder för att motverka infektioner med skadlig programvara är av yttersta vikt. Skadlig programvara, eller hotande programvara, utgör betydande hot mot säkerheten och funktionen hos datorsystem, nätverk och data. Dessa hot sträcker sig från obehörig åtkomst till dataintrång, ekonomiska förluster och avbrott i kritisk verksamhet. Att etablera effektiva åtgärder mot skadlig programvara är avgörande för att skydda digitala tillgångar och upprätthålla systemens integritet.

• Regelbundna programuppdateringar : Skadlig programvara utnyttjar ofta kända sårbarheter i operativsystem och programvara. Att hålla all din programvara uppdaterad genom att lägga till säkerhetskorrigeringar och uppdateringar är avgörande för att stänga potentiella ingångspunkter för skadlig programvara.
• Användarutbildning : Många attacker mot skadlig programvara riktar sig till användare genom sociala tekniker som nätfiske-e-postmeddelanden eller vilseledande nedladdningar. Att utbilda användare om riskerna med att klicka på misstänkta länkar, öppna bilagor från okända källor och använda sig av säkra surfvanor kan avsevärt minska risken för infektion.
• Åtkomstkontroll och privilegiehantering : Begränsning av användarprivilegier och åtkomsträttigheter kan begränsa den potentiella effekten av skadlig programvara. Genom att implementera principen om minimal behörighet säkerställs att användare endast har tillgång till de resurser som krävs för deras roller, vilket minskar attackytan för skadlig programvara.
• Säkerhetskopiering och återställning : Regelbunden säkerhetskopiering av viktiga data och system är avgörande för att mildra effekterna av ransomware-attacker. I händelse av infektion kan rena data återställas, vilket förhindrar dataförlust och utpressningsförsök.
• Nätverkssegmentering : Segmentering av nätverk och isolering av kritiska system från mindre säkra kan innehålla spridning av skadlig programvara. Om ett segment äventyras är det svårare för skadlig programvara att flytta i sidled och infektera andra delar av nätverket.
• Kontinuerlig övervakning : Att använda säkerhetsverktyg och rutiner för kontinuerlig övervakning hjälper till att tidigt upptäcka och förhindra skadlig programvara. Anomalier och misstänkt beteende kan identifieras omedelbart, vilket möjliggör snabba ingripanden.
• Utvärdering av leverantörer och programvara : Innan de integrerar programvara eller tjänster från tredje part i nätverket bör organisationer bedöma sina säkerhetsåtgärder och rykte. Detta hjälper till att förhindra oavsiktlig introduktion av skadlig programvara genom komprometterad programvara.
• Samarbete och informationsdelning : Att hålla sig informerad om de senaste skadliga trenderna och attackteknikerna är avgörande. Att samarbeta med säkerhetsgemenskaper och dela hotintelligens kan hjälpa till att proaktivt försvara sig mot hot mot skadlig programvara.

Sammanfattningsvis är det ytterst viktigt att vidta åtgärder mot infektioner med skadlig kod för att skydda digitala tillgångar, användarnas integritet och systemens övergripande funktionalitet. Ett tillvägagångssätt i flera lager som kombinerar teknik, användarutbildning och proaktiva strategier är avgörande för att effektivt minska riskerna med skadlig programvara.