Phần mềm độc hại Whiffy Recon

Một loại phần mềm độc hại quét Wi-Fi mới có tên Whiffy Recon đã được các chuyên gia an ninh mạng phát hiện. Mối đe dọa đang được triển khai tới các máy Windows đã bị xâm phạm. Tội phạm mạng chịu trách nhiệm về hoạt động tấn công đang sử dụng phần mềm SmokeLoader khét tiếng và đầy đe dọa làm vật trung gian phân phối cho Whiffy Recon.

Loại phần mềm độc hại mới có chức năng đặc biệt. Trong khoảng thời gian đều đặn là 60 giây, nó sẽ thực hiện một quy trình trong đó xác định vị trí của các hệ thống bị nhiễm. Điều này đạt được bằng cách tiến hành quét các điểm truy cập Wi-Fi gần đó, sử dụng dữ liệu được thu thập làm điểm tham chiếu để truy vấn API định vị địa lý của Google. Sau đó, thông tin vị trí thu được từ API vị trí địa lý của Google sẽ được truyền trở lại tác nhân độc hại đằng sau hoạt động này.

Whiffy Recon là một mối đe dọa chuyên môn cao

Whiffy Recon hoạt động bằng cách trước tiên kiểm tra sự hiện diện của dịch vụ WLAN AutoConfig (WLANSVC) trên hệ thống bị nhiễm. Nếu không tìm thấy tên dịch vụ, phần mềm độc hại sẽ tự chấm dứt. Tuy nhiên, máy quét không xác minh xem dịch vụ có hoạt động hay không.

Để đạt được tính bền bỉ, một lối tắt sẽ được tạo và thêm vào thư mục Khởi động Windows.

Hơn nữa, phần mềm độc hại được cấu hình để thiết lập kết nối với máy chủ Command-and-Control (C2) từ xa. Điều này đạt được bằng cách gửi 'botID' được tạo ngẫu nhiên trong yêu cầu HTTP POST. Máy chủ C2 phản hồi bằng thông báo thành công và mã định danh bí mật duy nhất, sau đó được lưu trữ trong tệp có tên '%APPDATA%\Roaming\wlan\str-12.bin.'

Giai đoạn tiếp theo của cuộc tấn công bao gồm việc tiến hành quét các điểm truy cập Wi-Fi bằng API Windows WLAN cứ sau 60 giây. Sau đó, kết quả quét được thu thập sẽ được gửi tới API định vị địa lý của Google để xác định vị trí chính xác của hệ thống bị xâm nhập. Thông tin này sau đó được truyền đến máy chủ C2 dưới dạng chuỗi JSON.

Các nhà nghiên cứu hiếm khi quan sát thấy những trường hợp loại hoạt động và khả năng này được các tội phạm sử dụng. Mặc dù mối đe dọa Whiffy Recon thiếu tiềm năng kiếm tiền nhanh chóng như một khả năng độc lập, nhưng những điều không chắc chắn xung quanh mục đích của nó là điều đáng lo ngại. Thực tế đáng lo ngại là nó có thể được khai thác để hỗ trợ một loạt các mục tiêu không an toàn.

Chuyển sang mối đe dọa SmokeLoader, như tên cho thấy, phần mềm độc hại này chủ yếu hoạt động như một trình tải. Mục đích duy nhất của nó là thả tải trọng bổ sung vào máy chủ được nhắm mục tiêu. Kể từ năm 2014, phần mềm độc hại này đã được các tác nhân đe dọa có trụ sở tại Nga mua. Nó thường được truyền bá thông qua các email lừa đảo.

Thiết lập các biện pháp chống lây nhiễm phần mềm độc hại là điều tối quan trọng

Việc thực hiện các biện pháp chống lây nhiễm phần mềm độc hại là vô cùng quan trọng. Phần mềm độc hại hoặc phần mềm đe dọa gây ra mối đe dọa đáng kể đối với tính bảo mật và chức năng của hệ thống máy tính, mạng và dữ liệu. Những mối đe dọa này bao gồm từ truy cập trái phép đến vi phạm dữ liệu, tổn thất tài chính và làm gián đoạn các hoạt động quan trọng. Thiết lập các biện pháp hiệu quả chống lại phần mềm độc hại là điều cần thiết để bảo vệ tài sản kỹ thuật số và duy trì tính toàn vẹn của hệ thống.

• Cập nhật phần mềm thường xuyên : Phần mềm độc hại thường khai thác các lỗ hổng đã biết trong hệ điều hành và phần mềm. Luôn cập nhật tất cả phần mềm của bạn bằng cách thêm các bản vá và bản cập nhật bảo mật là điều quan trọng để đóng các điểm xâm nhập tiềm ẩn của phần mềm độc hại.
• Giáo dục người dùng : Nhiều cuộc tấn công bằng phần mềm độc hại nhắm mục tiêu vào người dùng thông qua các chiến thuật kỹ thuật xã hội như email lừa đảo hoặc tải xuống lừa đảo. Giáo dục người dùng về những rủi ro khi nhấp vào các liên kết đáng ngờ, mở tệp đính kèm từ các nguồn không xác định và sử dụng thói quen duyệt web an toàn có thể làm giảm đáng kể nguy cơ lây nhiễm.
• Kiểm soát truy cập và quản lý đặc quyền : Việc hạn chế đặc quyền và quyền truy cập của người dùng có thể hạn chế tác động tiềm ẩn của phần mềm độc hại. Việc thực hiện nguyên tắc đặc quyền tối thiểu đảm bảo rằng người dùng chỉ có quyền truy cập vào các tài nguyên cần thiết cho vai trò của họ, giảm bề mặt tấn công của phần mềm độc hại.
• Sao lưu và phục hồi : Thường xuyên sao lưu dữ liệu và hệ thống thiết yếu là điều cần thiết để giảm thiểu tác động của các cuộc tấn công bằng ransomware. Trong trường hợp bị lây nhiễm, dữ liệu sạch có thể được khôi phục, ngăn ngừa mất dữ liệu và các nỗ lực tống tiền.
• Phân đoạn mạng : Phân đoạn mạng và cách ly các hệ thống quan trọng khỏi các hệ thống kém an toàn hơn có thể ngăn chặn sự lây lan của phần mềm độc hại. Nếu một phân đoạn bị xâm phạm, phần mềm độc hại sẽ khó di chuyển sang bên và lây nhiễm sang các phần khác của mạng.
• Giám sát liên tục : Việc sử dụng các công cụ và biện pháp bảo mật để giám sát liên tục giúp phát hiện sớm và ngăn chặn các hoạt động của phần mềm độc hại. Những bất thường và hành vi đáng ngờ có thể được xác định kịp thời, cho phép can thiệp kịp thời.
• Đánh giá nhà cung cấp và phần mềm : Trước khi tích hợp phần mềm hoặc dịch vụ của bên thứ ba vào mạng, các tổ chức nên đánh giá các biện pháp bảo mật và danh tiếng của họ. Điều này giúp ngăn chặn việc vô tình đưa phần mềm độc hại thông qua phần mềm bị xâm nhập.
• Hợp tác và chia sẻ thông tin : Việc luôn cập nhật về các xu hướng phần mềm độc hại và kỹ thuật tấn công mới nhất là rất quan trọng. Cộng tác với các cộng đồng bảo mật và chia sẻ thông tin về mối đe dọa có thể hỗ trợ chủ động phòng vệ trước các mối đe dọa phần mềm độc hại đang gia tăng.

Tóm lại, việc thiết lập các biện pháp chống lây nhiễm phần mềm độc hại là điều tối quan trọng để bảo vệ tài sản kỹ thuật số, quyền riêng tư của người dùng và chức năng tổng thể của hệ thống. Cách tiếp cận nhiều lớp kết hợp công nghệ, giáo dục người dùng và chiến lược chủ động là điều cần thiết để giảm thiểu rủi ro do phần mềm độc hại gây ra một cách hiệu quả.