Whiffy Recon Malware

Isang bagong uri ng Wi-Fi scanning malware na tinutukoy bilang Whiffy Recon ay natuklasan ng mga cybersecurity specialist. Ang banta ay inilalagay sa mga Windows machine na nakompromiso na. Ang mga cybercriminal na responsable sa operasyon ng pag-atake ay gumagamit ng kilalang-kilala at nagbabantang software na SmokeLoader bilang isang vector ng paghahatid para sa Whiffy Recon.

Ang nobelang strain ng malware ay may iisang function. Sa regular na pagitan ng 60 segundo, nagsasagawa ito ng proseso kung saan tinutukoy nito ang mga posisyon ng mga nahawaang sistema. Ito ay nakakamit sa pamamagitan ng pagsasagawa ng mga pag-scan ng mga kalapit na Wi-Fi access point, gamit ang nakolektang data bilang mga reference point para sa pag-query sa geolocation API ng Google. Kasunod nito, ang nakuhang impormasyon ng lokasyon mula sa Geolocation API ng Google ay ipinadala pabalik sa malisyosong aktor sa likod ng operasyong ito.

Ang Whiffy Recon ay isang Highly Specialized na Banta

Gumagana ang Whiffy Recon sa pamamagitan ng unang pagsusuri para sa pagkakaroon ng serbisyo ng WLAN AutoConfig (WLANSVC) sa nahawaang sistema. Kung hindi mahanap ang pangalan ng serbisyo, wawakasan ng malware ang sarili nito. Gayunpaman, hindi bini-verify ng scanner kung gumagana ang serbisyo.

Upang makamit ang pagtitiyaga, isang shortcut ay nilikha at idinagdag sa folder ng Windows Startup.

Higit pa rito, ang malware ay na-configure upang magtatag ng isang koneksyon sa isang malayuang Command-and-Control (C2) server. Ito ay nakakamit sa pamamagitan ng pagpapadala ng random na nabuong 'botID' sa isang kahilingan sa HTTP POST. Ang C2 server ay tumugon sa isang mensahe ng tagumpay at isang natatanging lihim na pagkakakilanlan, na pagkatapos ay naka-imbak sa isang file na pinangalanang '%APPDATA%\Roaming\wlan\str-12.bin.'

Ang susunod na yugto ng pag-atake ay nagsasangkot ng pagsasagawa ng mga pag-scan para sa mga Wi-Fi access point gamit ang Windows WLAN API bawat 60 segundo. Ang mga nakolektang resulta ng pag-scan ay ipapadala sa Google Geolocation API upang i-triangulate ang eksaktong lokasyon ng nakompromisong system. Ang impormasyong ito ay ipinapadala sa C2 server sa anyo ng isang JSON string.

Ang mga mananaliksik ay bihirang obserbahan ang mga pagkakataon ng ganitong uri ng aktibidad at kakayahan na ginagamit ng mga kriminal na aktor. Bagama't ang banta ng Whiffy Recon ay walang agarang potensyal para sa mabilis na pag-monetize bilang isang nakapag-iisang kakayahan, ang mga kawalan ng katiyakan sa layunin nito ay nakakabahala. Ang nakababahalang katotohanan ay maaari itong magamit upang suportahan ang isang malawak na hanay ng mga hindi ligtas na layunin.

Ang pagbaling sa banta ng SmokeLoader, gaya ng ipinahihiwatig ng pangalan, ang malware na ito ay pangunahing gumaganap bilang isang loader. Ang tanging layunin nito ay mag-drop ng mga karagdagang payload sa target na host. Mula noong 2014, ang malware na ito ay magagamit para sa pagbili ng mga aktor ng pagbabanta na nakabase sa Russia. Karaniwan itong pinapalaganap sa pamamagitan ng mga phishing na email.

Ang Pagtatatag ng mga Panukala laban sa Mga Impeksyon sa Malware ay Pinakamahalaga

Ang pagpapatupad ng mga hakbang upang malabanan ang mga impeksyon sa malware ay pinakamahalaga. Ang malware, o nagbabantang software, ay nagdudulot ng malalaking banta sa seguridad at functionality ng mga computer system, network at data. Ang mga banta na ito ay mula sa hindi awtorisadong pag-access sa mga paglabag sa data, pagkalugi sa pananalapi, at pagkagambala sa mga kritikal na operasyon. Ang pagtatatag ng mga epektibong hakbang laban sa malware ay mahalaga upang maprotektahan ang mga digital na asset at mapanatili ang integridad ng mga system.

• Mga Regular na Update sa Software : Madalas na sinasamantala ng malware ang mga kilalang kahinaan sa mga operating system at software. Ang pagpapanatiling na-update ng lahat ng iyong software sa pamamagitan ng pagdaragdag ng mga patch sa seguridad at mga update ay mahalaga sa pagsasara ng mga potensyal na entry point para sa malware.
• Edukasyon ng User : Maraming pag-atake ng malware ang nagta-target ng mga user sa pamamagitan ng mga taktika sa social engineering tulad ng mga email sa phishing o mapanlinlang na pag-download. Ang pagtuturo sa mga user tungkol sa mga panganib ng pag-click sa mga kahina-hinalang link, pagbubukas ng mga attachment mula sa hindi kilalang pinagmulan, at paggamit ng ligtas na mga gawi sa pagba-browse ay maaaring makabuluhang bawasan ang panganib ng impeksyon.
• Kontrol sa Pag-access at Pamamahala ng Pribilehiyo : Ang paglilimita sa mga pribilehiyo ng user at mga karapatan sa pag-access ay maaaring paghigpitan ang potensyal na epekto ng malware. Ang pagpapatupad ng prinsipyo ng minimal na pribilehiyo ay nagsisiguro na ang mga user ay may access lamang sa mga mapagkukunang kinakailangan para sa kanilang mga tungkulin, na binabawasan ang pag-atake para sa malware.
• Pag-backup at Pagbawi : Ang regular na pag-back up ng mahahalagang data at mga system ay mahalaga upang mabawasan ang epekto ng mga pag-atake ng ransomware. Sa kaso ng impeksyon, maaaring maibalik ang malinis na data, na pumipigil sa pagkawala ng data at mga pagtatangka sa pangingikil.
• Network Segmentation : Ang pagse-segment ng mga network at paghihiwalay ng mga kritikal na system mula sa mga hindi gaanong secure ay maaaring maglaman ng pagkalat ng malware. Kung nakompromiso ang isang segment, mas mahirap para sa malware na lumipat sa gilid at makahawa sa ibang bahagi ng network.
• Patuloy na Pagsubaybay : Ang paggamit ng mga tool at kasanayan sa seguridad para sa patuloy na pagsubaybay ay nakakatulong sa maagang pagtuklas at pag-iwas sa mga aktibidad ng malware. Ang mga anomalya at kahina-hinalang pag-uugali ay maaaring matukoy kaagad, na nagbibigay-daan para sa napapanahong interbensyon.
• Vendor at Software Assessment : Bago isama ang third-party na software o mga serbisyo sa network, dapat suriin ng mga organisasyon ang kanilang mga hakbang sa seguridad at reputasyon. Nakakatulong ito na maiwasan ang hindi sinasadyang pagpapasok ng malware sa pamamagitan ng nakompromisong software.
• Pakikipagtulungan at Pagbabahagi ng Impormasyon : Ang pananatiling may kaalaman tungkol sa pinakabagong mga uso sa malware at mga diskarte sa pag-atake ay mahalaga. Ang pakikipagtulungan sa mga komunidad ng seguridad at pagbabahagi ng threat intelligence ay maaaring makatulong sa aktibong pagtatanggol laban sa mga umuusbong na banta ng malware.

Sa konklusyon, ang pagtatatag ng mga hakbang laban sa mga impeksyon sa malware ay pinakamahalaga sa pagprotekta sa mga digital na asset, privacy ng user at ang pangkalahatang functionality ng mga system. Ang isang multi-layered na diskarte na pinagsasama ang teknolohiya, edukasyon ng user, at proactive na mga diskarte ay mahalaga upang mapagaan ang mga panganib na dulot ng malware nang epektibo.