Whiffy Recon Kötü Amaçlı Yazılım

Whiffy Recon olarak adlandırılan yeni bir Wi-Fi tarama kötü amaçlı yazılım türü, siber güvenlik uzmanları tarafından ortaya çıkarıldı. Tehdit, halihazırda güvenliği ihlal edilmiş olan Windows makinelerine dağıtılıyor. Saldırı operasyonundan sorumlu siber suçlular, kötü şöhretli ve tehditkar SmokeLoader yazılımını Whiffy Recon için dağıtım vektörü olarak kullanıyor.

Yeni kötü amaçlı yazılım türünün tek bir işlevi var. 60 saniyelik düzenli aralıklarla, virüslü sistemlerin konumlarını belirleyen bir işlem gerçekleştiriyor. Bu, yakındaki Wi-Fi erişim noktalarının taranması ve toplanan verilerin Google'ın coğrafi konum API'sini sorgulamak için referans noktaları olarak kullanılmasıyla gerçekleştirilir. Daha sonra Google'ın Geolocation API'sinden elde edilen konum bilgisi, bu operasyonun arkasındaki kötü niyetli aktöre geri iletilir.

Whiffy Recon Son Derece Özel Bir Tehdittir

Whiffy Recon, öncelikle virüslü sistemde WLAN Otomatik Yapılandırma hizmetinin (WLANSVC) varlığını kontrol ederek çalışır. Hizmet adı bulunamazsa kötü amaçlı yazılım kendini sonlandırır. Ancak tarayıcı hizmetin çalışıp çalışmadığını doğrulamaz.

Kalıcılığı sağlamak için bir kısayol oluşturulur ve Windows Başlangıç klasörüne eklenir.

Ayrıca kötü amaçlı yazılım, uzak bir Komuta ve Kontrol (C2) sunucusuyla bağlantı kuracak şekilde yapılandırılmıştır. Bu, bir HTTP POST isteğinde rastgele oluşturulmuş bir 'botID' gönderilerek gerçekleştirilir. C2 sunucusu bir başarı mesajıyla ve benzersiz bir gizli tanımlayıcıyla yanıt verir ve bu daha sonra '%APPDATA%\Roaming\wlan\str-12.bin' adlı bir dosyada saklanır.

Saldırının bir sonraki aşaması, her 60 saniyede bir Windows WLAN API'sini kullanarak Wi-Fi erişim noktalarının taranmasını içeriyor. Toplanan tarama sonuçları daha sonra, güvenliği ihlal edilen sistemin kesin konumunu belirlemek için Google Geolocation API'sine gönderilir. Bu bilgi daha sonra bir JSON dizisi biçiminde C2 sunucusuna iletilir.

Araştırmacılar bu tür faaliyet ve yeteneklerin suç aktörleri tarafından kullanıldığını nadiren gözlemliyorlar. Whiffy Recon tehdidi, bağımsız bir yetenek olarak hızlı para kazanma potansiyeline sahip olmasa da, amacını çevreleyen belirsizlikler rahatsız edici. İlgili gerçek şu ki, çok çeşitli güvensiz hedefleri desteklemek için kullanılabilir.

SmokeLoader tehdidine dönecek olursak, adından da anlaşılacağı gibi bu kötü amaçlı yazılım öncelikle bir yükleyici olarak işlev görüyor. Tek amacı, hedeflenen ana bilgisayara ek yükler bırakmaktır. Bu kötü amaçlı yazılım 2014 yılından bu yana Rusya merkezli tehdit aktörleri tarafından satın alınabiliyor. Genellikle kimlik avı e-postaları yoluyla yayılır.

Kötü Amaçlı Yazılım Bulaşmalarına Karşı Önlemler Oluşturmak Çok Önemlidir

Kötü amaçlı yazılım bulaşmalarına karşı önlemlerin uygulanması son derece önemlidir. Kötü amaçlı yazılım veya tehdit edici yazılım, bilgisayar sistemlerinin, ağların ve verilerin güvenliğine ve işlevselliğine yönelik önemli tehditler oluşturur. Bu tehditler yetkisiz erişimden veri ihlallerine, mali kayıplardan kritik operasyonların kesintiye uğramasına kadar uzanır. Kötü amaçlı yazılımlara karşı etkili önlemlerin alınması, dijital varlıkların korunması ve sistemlerin bütünlüğünü korumak açısından önemlidir.

• Düzenli Yazılım Güncellemeleri : Kötü amaçlı yazılımlar genellikle işletim sistemleri ve yazılımlardaki bilinen güvenlik açıklarından yararlanır. Güvenlik yamaları ve güncellemeler ekleyerek tüm yazılımlarınızı güncel tutmak, kötü amaçlı yazılımlara yönelik potansiyel giriş noktalarını kapatmak açısından çok önemlidir.
• Kullanıcı Eğitimi : Birçok kötü amaçlı yazılım saldırısı, kimlik avı e-postaları veya aldatıcı indirmeler gibi sosyal mühendislik taktikleri yoluyla kullanıcıları hedef alır. Kullanıcıları şüpheli bağlantılara tıklamanın, bilinmeyen kaynaklardan gelen ekleri açmanın ve güvenli gezinme alışkanlıklarından yararlanmanın riskleri konusunda eğitmek, enfeksiyon riskini önemli ölçüde azaltabilir.
• Erişim Kontrolü ve Ayrıcalık Yönetimi : Kullanıcı ayrıcalıklarının ve erişim haklarının sınırlandırılması, kötü amaçlı yazılımın potansiyel etkisini kısıtlayabilir. Minimum ayrıcalık ilkesinin uygulanması, kullanıcıların yalnızca rolleri için gerekli kaynaklara erişmesini sağlayarak kötü amaçlı yazılımlara yönelik saldırı yüzeyini azaltır.
• Yedekleme ve Kurtarma : Fidye yazılımı saldırılarının etkisini azaltmak için temel verileri ve sistemleri düzenli olarak yedeklemek çok önemlidir. Enfeksiyon durumunda temiz veriler geri yüklenebilir, böylece veri kaybı ve gasp girişimleri önlenir.
• Ağ Segmentasyonu : Ağları segmentlere ayırmak ve kritik sistemleri daha az güvenli olanlardan izole etmek, kötü amaçlı yazılımların yayılmasını önleyebilir. Bir segmentin güvenliği ihlal edilirse kötü amaçlı yazılımın yatay olarak hareket etmesi ve ağın diğer bölümlerine bulaşması daha zor olur.
• Sürekli İzleme : Sürekli izleme için güvenlik araçlarının ve uygulamalarının kullanılması, kötü amaçlı yazılım etkinliklerinin erken tespit edilmesine ve önlenmesine yardımcı olur. Anormallikler ve şüpheli davranışlar anında tespit edilerek zamanında müdahale edilebilir.
• Satıcı ve Yazılım Değerlendirmesi : Üçüncü taraf yazılım veya hizmetlerini ağa entegre etmeden önce kuruluşların güvenlik önlemlerini ve itibarlarını değerlendirmeleri gerekir. Bu, güvenliği ihlal edilmiş yazılım yoluyla yanlışlıkla kötü amaçlı yazılımların bulaşmasını önlemeye yardımcı olur.
• İşbirliği ve Bilgi Paylaşımı : En son kötü amaçlı yazılım trendleri ve saldırı teknikleri hakkında bilgi sahibi olmak çok önemlidir. Güvenlik topluluklarıyla işbirliği yapmak ve tehdit istihbaratını paylaşmak, gelişen kötü amaçlı yazılım tehditlerine karşı proaktif bir şekilde savunma yapılmasına yardımcı olabilir.

Sonuç olarak, kötü amaçlı yazılım bulaşmalarına karşı önlemlerin alınması, dijital varlıkların, kullanıcı gizliliğinin ve sistemlerin genel işlevselliğinin korunması açısından çok önemlidir. Kötü amaçlı yazılımların oluşturduğu riskleri etkili bir şekilde azaltmak için teknolojiyi, kullanıcı eğitimini ve proaktif stratejileri birleştiren çok katmanlı bir yaklaşım önemlidir.