Знижки на кілька ліцензій
Threat Database Malware Шкідлива програма Whiffy Recon

Шкідлива програма Whiffy Recon

До Mezo року в Malware році
Перекласти на:
Українська

Фахівці з кібербезпеки виявили новий тип шкідливого програмного забезпечення для сканування Wi-Fi під назвою Whiffy Recon. Загроза розгортається на машинах Windows, які вже були зламані. Кіберзлочинці, відповідальні за атаку, використовують горезвісне та загрозливе програмне забезпечення SmokeLoader як вектор доставки для Whiffy Recon.

Новий вид шкідливого програмного забезпечення має унікальну функцію. З регулярними інтервалами в 60 секунд він виконує процес, у якому визначає положення заражених систем. Це досягається шляхом проведення сканування найближчих точок доступу Wi-Fi, використовуючи зібрані дані як контрольні точки для запиту API геолокації Google. Згодом отримана інформація про місцезнаходження від Google Geolocation API передається назад зловмиснику, який стоїть за цією операцією.

Whiffy Recon — це високоспеціалізована загроза

Whiffy Recon працює, спочатку перевіряючи наявність служби WLAN AutoConfig (WLANSVC) в зараженій системі. Якщо назва служби не знайдено, зловмисне програмне забезпечення припиняє роботу. Однак сканер не перевіряє, чи працює служба.

Для забезпечення постійності створюється ярлик, який додається до папки автозавантаження Windows.

Крім того, зловмисне програмне забезпечення налаштовано на встановлення з’єднання з віддаленим сервером командування та керування (C2). Це досягається шляхом надсилання випадково згенерованого 'botID' у запиті HTTP POST. Сервер C2 відповідає повідомленням про успіх і унікальним секретним ідентифікатором, який потім зберігається у файлі під назвою «%APPDATA%\Roaming\wlan\str-12.bin».

Наступна фаза атаки передбачає проведення сканування точок доступу Wi-Fi за допомогою Windows WLAN API кожні 60 секунд. Зібрані результати сканування потім надсилаються в Google Geolocation API для тріангуляції точного розташування скомпрометованої системи. Потім ця інформація передається на сервер C2 у вигляді рядка JSON.

Дослідники рідко спостерігають випадки такого роду діяльності та можливостей, які використовуються злочинцями. Хоча загрозі Whiffy Recon бракує безпосереднього потенціалу для швидкої монетизації як окремої можливості, невизначеність навколо її намірів викликає занепокоєння. Реальність, що викликає занепокоєння, полягає в тому, що його можна використовувати для підтримки широкого спектру небезпечних цілей.

Звертаючись до загрози SmokeLoader, як випливає з назви, це зловмисне програмне забезпечення в першу чергу функціонує як завантажувач. Його єдина мета — скинути додаткові корисні навантаження на цільовий хост. З 2014 року це зловмисне програмне забезпечення доступне для придбання зловмисниками з Росії. Зазвичай він поширюється через фішингові електронні листи.

Встановлення заходів проти зараження шкідливим програмним забезпеченням має першорядне значення

Реалізація заходів щодо протидії зараженню шкідливим програмним забезпеченням є надзвичайно важливою. Шкідливе або загрозливе програмне забезпечення створює серйозну загрозу безпеці та функціональності комп’ютерних систем, мереж і даних. Ці загрози варіюються від несанкціонованого доступу до витоку даних, фінансових втрат і зриву критично важливих операцій. Встановлення ефективних заходів проти зловмисного програмного забезпечення має важливе значення для захисту цифрових активів і підтримки цілісності систем.

  • Регулярні оновлення програмного забезпечення : зловмисне програмне забезпечення часто використовує відомі вразливості в операційних системах і програмному забезпеченні. Оновлення всього вашого програмного забезпечення шляхом додавання виправлень безпеки та оновлень має вирішальне значення для закриття потенційних точок входу для зловмисного програмного забезпечення.
  • Навчання користувачів : багато атак зловмисного програмного забезпечення спрямовані на користувачів за допомогою тактики соціальної інженерії, як-от фішингові електронні листи або оманливі завантаження. Навчання користувачів щодо ризиків натискання підозрілих посилань, відкриття вкладень із невідомих джерел і використання звичок безпечного перегляду може значно знизити ризик зараження.
  • Контроль доступу та керування привілеями : обмеження привілеїв і прав доступу користувачів може обмежити потенційний вплив зловмисного програмного забезпечення. Реалізація принципу мінімальних привілеїв гарантує, що користувачі мають доступ лише до ресурсів, необхідних для виконання їхніх ролей, зменшуючи поверхню для атаки зловмисного програмного забезпечення.
  • Резервне копіювання та відновлення : регулярне резервне копіювання важливих даних і систем має важливе значення для пом’якшення впливу атак програм-вимагачів. У разі зараження чисті дані можна відновити, запобігаючи втраті даних і спробам вимагання.
  • Сегментація мережі : сегментація мереж і ізоляція критичних систем від менш безпечних може стримувати поширення шкідливого програмного забезпечення. Якщо один сегмент скомпрометовано, зловмисному програмному забезпеченню складніше переміщатися вбік і заразити інші частини мережі.
  • Безперервний моніторинг : використання засобів безпеки та практик для постійного моніторингу допомагає завчасно виявляти та запобігати діяльності зловмисного програмного забезпечення. Аномалії та підозрілу поведінку можна швидко виявити, що дозволяє вчасно втручатися.
  • Оцінка постачальника та програмного забезпечення : перш ніж інтегрувати стороннє програмне забезпечення або служби в мережу, організації повинні оцінити свої заходи безпеки та репутацію. Це допомагає запобігти ненавмисному введенню зловмисного програмного забезпечення через скомпрометоване програмне забезпечення.
  • Співпраця та обмін інформацією : бути в курсі останніх тенденцій зловмисного програмного забезпечення та методів атак є надзвичайно важливим. Співпраця зі спільнотами безпеки та обмін інформацією про загрози може допомогти в проактивному захисті від нових загроз зловмисного програмного забезпечення.

Підсумовуючи, запровадження заходів проти зараження шкідливим програмним забезпеченням має першочергове значення для захисту цифрових активів, конфіденційності користувачів і загальної функціональності систем. Багаторівневий підхід, який поєднує технології, навчання користувачів і проактивні стратегії, є важливим для ефективного пом’якшення ризиків, створених шкідливим програмним забезпеченням.

В тренді

Найбільше переглянуті

Шахрайство електронною поштою "Geek Squad".

Phishing, Spam
15,882
Geek Squad, популярна служба технічної підтримки, стала жертвою фішингової афери під назвою Geek Squad Email Scam. У цій шахрайській службі технічної підтримки використовуються фальшиві електронні листи, які обманом змушують людей надати особисту інформацію, таку як дані кредитної картки, адреси електронної пошти та навіть номери соціального страхування. У цій статті ми обговоримо саму аферу,...
Завантаження...