มัลแวร์ Whiffy Recon

มัลแวร์สแกน Wi-Fi ประเภทใหม่ที่เรียกว่า Whiffy Recon ได้รับการเปิดเผยโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ภัยคุกคามกำลังถูกนำไปใช้กับเครื่อง Windows ที่ถูกโจมตีแล้ว อาชญากรไซเบอร์ที่รับผิดชอบปฏิบัติการโจมตีกำลังใช้ซอฟต์แวร์ SmokeLoader ที่ฉาวโฉ่และคุกคามเป็นเวกเตอร์ส่งมอบสำหรับ Whiffy Recon

มัลแวร์สายพันธุ์ใหม่มีหน้าที่เอกพจน์ ในช่วงเวลาปกติ 60 วินาที จะดำเนินการตามกระบวนการเพื่อกำหนดตำแหน่งของระบบที่ติดไวรัส ซึ่งทำได้โดยการสแกนจุดเข้าใช้งาน Wi-Fi ในบริเวณใกล้เคียง โดยใช้ข้อมูลที่รวบรวมไว้เป็นจุดอ้างอิงสำหรับการสืบค้น API ตำแหน่งทางภูมิศาสตร์ของ Google จากนั้น ข้อมูลตำแหน่งที่ได้รับจาก Geolocation API ของ Google จะถูกส่งไปยังผู้ประสงค์ร้ายที่อยู่เบื้องหลังการดำเนินการนี้

Whiffy Recon เป็นภัยคุกคามที่เชี่ยวชาญเป็นพิเศษ

Whiffy Recon ทำงานโดยการตรวจสอบการมีอยู่ของบริการ WLAN AutoConfig (WLANSVC) บนระบบที่ติดไวรัสก่อน หากไม่พบชื่อบริการ มัลแวร์จะยุติการทำงานเอง อย่างไรก็ตาม เครื่องสแกนไม่ได้ตรวจสอบว่าบริการทำงานอยู่หรือไม่

เพื่อให้เกิดความคงอยู่ จึงมีการสร้างทางลัดและเพิ่มลงในโฟลเดอร์ Windows Startup

นอกจากนี้ มัลแวร์ยังได้รับการกำหนดค่าให้สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ระยะไกล ซึ่งสามารถทำได้โดยการส่ง 'botID' ที่สร้างขึ้นแบบสุ่มในคำขอ HTTP POST เซิร์ฟเวอร์ C2 ตอบกลับด้วยข้อความแสดงความสำเร็จและตัวระบุความลับที่ไม่ซ้ำกัน ซึ่งจากนั้นจะถูกจัดเก็บไว้ในไฟล์ชื่อ '%APPDATA%\Roaming\wlan\str-12.bin'

ระยะต่อไปของการโจมตีคือการสแกนจุดเข้าใช้งาน Wi-Fi โดยใช้ Windows WLAN API ทุกๆ 60 วินาที ผลการสแกนที่รวบรวมไว้จะถูกส่งไปยัง Google Geolocation API เพื่อระบุตำแหน่งที่แม่นยำของระบบที่ถูกบุกรุก ข้อมูลนี้จะถูกส่งไปยังเซิร์ฟเวอร์ C2 ในรูปแบบของสตริง JSON

นักวิจัยไม่ค่อยสังเกตเห็นกิจกรรมและความสามารถประเภทนี้ที่ผู้กระทำความผิดใช้ แม้ว่าภัยคุกคาม Whiffy Recon ขาดศักยภาพในทันทีสำหรับการสร้างรายได้อย่างรวดเร็วในฐานะความสามารถแบบสแตนด์อโลน แต่ความไม่แน่นอนที่อยู่รอบ ๆ จุดประสงค์ของมันกลับไม่มั่นคง ความเป็นจริงที่เกี่ยวข้องก็คือ สามารถใช้เพื่อสนับสนุนวัตถุประสงค์ที่ไม่ปลอดภัยได้หลากหลาย

เมื่อหันไปใช้ภัยคุกคาม SmokeLoader ตามชื่อ มัลแวร์นี้มีหน้าที่เป็นตัวโหลดเป็นหลัก จุดประสงค์เดียวคือเพื่อปล่อยเพย์โหลดเพิ่มเติมไปยังโฮสต์เป้าหมาย ตั้งแต่ปี 2014 เป็นต้นมา มัลแวร์นี้มีวางจำหน่ายโดยผู้คุกคามที่อยู่ในรัสเซีย โดยทั่วไปจะมีการเผยแพร่ผ่านอีเมลฟิชชิ่ง

การสร้างมาตรการป้องกันการติดมัลแวร์เป็นสิ่งสำคัญยิ่ง

การใช้มาตรการเพื่อต่อต้านการติดมัลแวร์มีความสำคัญสูงสุด มัลแวร์หรือซอฟต์แวร์ที่เป็นอันตรายก่อให้เกิดภัยคุกคามที่สำคัญต่อความปลอดภัยและการทำงานของระบบคอมพิวเตอร์ เครือข่าย และข้อมูล ภัยคุกคามเหล่านี้มีตั้งแต่การเข้าถึงข้อมูลรั่วไหลโดยไม่ได้รับอนุญาต ความสูญเสียทางการเงิน และการหยุดชะงักของการดำเนินงานที่สำคัญ การสร้างมาตรการป้องกันมัลแวร์ที่มีประสิทธิภาพถือเป็นสิ่งสำคัญในการปกป้องสินทรัพย์ดิจิทัลและรักษาความสมบูรณ์ของระบบ

• การอัปเดตซอฟต์แวร์เป็นประจำ : มัลแวร์มักจะหาประโยชน์จากช่องโหว่ที่ทราบในระบบปฏิบัติการและซอฟต์แวร์ การอัปเดตซอฟต์แวร์ทั้งหมดของคุณโดยการเพิ่มแพตช์รักษาความปลอดภัยและการอัปเดตเป็นสิ่งสำคัญในการปิดทางเข้าที่อาจเกิดมัลแวร์
• การให้ความรู้แก่ผู้ใช้ : การโจมตีของมัลแวร์จำนวนมากกำหนดเป้าหมายผู้ใช้ผ่านกลยุทธ์วิศวกรรมสังคม เช่น อีเมลฟิชชิ่งหรือการดาวน์โหลดที่หลอกลวง การให้ความรู้แก่ผู้ใช้เกี่ยวกับความเสี่ยงในการคลิกลิงก์ที่น่าสงสัย การเปิดไฟล์แนบจากแหล่งที่ไม่รู้จัก และการใช้พฤติกรรมการท่องเว็บอย่างปลอดภัย สามารถลดความเสี่ยงของการติดไวรัสได้อย่างมาก
• การควบคุมการเข้าถึงและการจัดการสิทธิ์ : การจำกัดสิทธิ์ของผู้ใช้และสิทธิ์การเข้าถึงสามารถจำกัดผลกระทบที่อาจเกิดขึ้นจากมัลแวร์ การใช้หลักการสิทธิพิเศษขั้นต่ำทำให้มั่นใจได้ว่าผู้ใช้จะสามารถเข้าถึงทรัพยากรที่จำเป็นสำหรับบทบาทของตนเท่านั้น ซึ่งช่วยลดพื้นที่การโจมตีของมัลแวร์
• การสำรองข้อมูลและการกู้คืน : การสำรองข้อมูลและระบบที่จำเป็นเป็นประจำถือเป็นสิ่งสำคัญในการลดผลกระทบของการโจมตีแรนซัมแวร์ ในกรณีที่เกิดการติดไวรัส ข้อมูลที่สะอาดสามารถกู้คืนได้ ป้องกันการสูญหายของข้อมูลและการพยายามขู่กรรโชก
• การแบ่งส่วนเครือข่าย : การแบ่งส่วนเครือข่ายและการแยกระบบที่สำคัญออกจากระบบที่มีความปลอดภัยน้อยกว่า อาจทำให้มัลแวร์แพร่กระจายได้ หากกลุ่มใดกลุ่มหนึ่งถูกโจมตี มัลแวร์จะเคลื่อนที่ไปด้านข้างได้ยากขึ้นและแพร่ระบาดไปยังส่วนอื่นๆ ของเครือข่าย
• การตรวจสอบอย่างต่อเนื่อง : การใช้เครื่องมือและแนวปฏิบัติด้านความปลอดภัยในการตรวจสอบอย่างต่อเนื่องช่วยในการตรวจจับและป้องกันกิจกรรมมัลแวร์ตั้งแต่เนิ่นๆ ความผิดปกติและพฤติกรรมที่น่าสงสัยสามารถระบุได้ทันที ช่วยให้สามารถเข้าแทรกแซงได้ทันท่วงที
• การประเมินผู้จำหน่ายและซอฟต์แวร์ : ก่อนที่จะรวมซอฟต์แวร์หรือบริการของบุคคลที่สามเข้ากับเครือข่าย องค์กรควรประเมินมาตรการรักษาความปลอดภัยและชื่อเสียงของตน ซึ่งจะช่วยป้องกันการแนะนำมัลแวร์โดยไม่ได้ตั้งใจผ่านซอฟต์แวร์ที่ถูกบุกรุก
• การทำงานร่วมกันและการแบ่งปันข้อมูล : การรับทราบข้อมูลเกี่ยวกับแนวโน้มมัลแวร์และเทคนิคการโจมตีล่าสุดเป็นสิ่งสำคัญ การทำงานร่วมกันกับชุมชนความปลอดภัยและแบ่งปันข่าวกรองเกี่ยวกับภัยคุกคามสามารถช่วยป้องกันภัยคุกคามมัลแวร์ที่กำลังพัฒนาในเชิงรุกได้

โดยสรุป การสร้างมาตรการป้องกันการติดมัลแวร์เป็นสิ่งสำคัญอย่างยิ่งในการปกป้องสินทรัพย์ดิจิทัล ความเป็นส่วนตัวของผู้ใช้ และฟังก์ชันการทำงานโดยรวมของระบบ แนวทางแบบหลายชั้นที่ผสมผสานเทคโนโลยี การให้ความรู้แก่ผู้ใช้ และกลยุทธ์เชิงรุกถือเป็นสิ่งสำคัญในการลดความเสี่ยงที่เกิดจากมัลแวร์อย่างมีประสิทธิภาพ