Whiffy Recon 惡意軟件

網絡安全專家發現了一種名為 Whiffy Recon 的新型 Wi-Fi 掃描惡意軟件。該威脅正在部署到已受到威脅的 Windows 計算機上。負責此次攻擊行動的網絡犯罪分子正在使用臭名昭著且具有威脅性的SmokeLoader軟件作為 Whiffy Recon 的交付媒介。

這種新型惡意軟件具有獨特的功能。它每隔 60 秒執行一次確定受感染系統位置的過程。這是通過掃描附近的 Wi-Fi 接入點，使用收集到的數據作為查詢 Google 地理定位 API 的參考點來實現的。隨後，從 Google 的 Geolocation API 獲取的位置信息被傳輸回該操作背後的惡意行為者。

Whiffy Recon 是一種高度專業化的威脅

Whiffy Recon 的運行方式是首先檢查受感染系統上是否存在 WLAN 自動配置服務 (WLANSVC)。如果未找到服務名稱，惡意軟件將自行終止。但是，掃描儀不會驗證該服務是否正在運行。

為了實現持久性，將創建一個快捷方式並將其添加到 Windows 啟動文件夾中。

此外，該惡意軟件還被配置為與遠程命令與控制 (C2) 服務器建立連接。這是通過在 HTTP POST 請求中發送隨機生成的“botID”來實現的。 C2 服務器以成功消息和唯一秘密標識符進行響應，然後將其存儲在名為“%APPDATA%\Roaming\wlan\str-12.bin”的文件中。

攻擊的下一階段涉及使用 Windows WLAN API 每 60 秒掃描一次 Wi-Fi 接入點。然後，收集到的掃描結果會發送到 Google Geolocation API，以三角測量受感染系統的精確位置。然後，該信息以 JSON 字符串的形式傳輸到 C2 服務器。

研究人員很少觀察到犯罪分子利用此類活動和能力的實例。雖然 Whiffy Recon 威脅缺乏作為獨立功能快速貨幣化的直接潛力，但圍繞其意圖的不確定性令人不安。令人擔憂的現實是，它可以被用來支持各種不安全的目標。

至於 SmokeLoader 威脅，顧名思義，該惡意軟件主要充當加載程序。其唯一目的是將額外的有效負載投放到目標主機上。自 2014 年以來，俄羅斯的威脅行為者就可以購買該惡意軟件。它通常通過網絡釣魚電子郵件傳播。

制定針對惡意軟件感染的措施至關重要

採取措施應對惡意軟件感染至關重要。惡意軟件或威脅軟件對計算機系統、網絡和數據的安全和功能構成重大威脅。這些威脅包括未經授權的訪問、數據洩露、財務損失和關鍵運營中斷。建立針對惡意軟件的有效措施對於保護數字資產和維護系統的完整性至關重要。

• 定期軟件更新：惡意軟件經常利用操作系統和軟件中的已知漏洞。通過添加安全補丁和更新來保持所有軟件的更新對於關閉惡意軟件的潛在入口點至關重要。
• 用戶教育：許多惡意軟件攻擊通過網絡釣魚電子郵件或欺騙性下載等社會工程策略來瞄準用戶。教育用戶有關點擊可疑鏈接、打開未知來源附件的風險以及養成安全瀏覽習慣可以顯著降低感染風險。
• 訪問控制和權限管理：限制用戶權限和訪問權限可以限制惡意軟件的潛在影響。實施最小權限原則可確保用戶只能訪問其角色所需的資源，從而減少惡意軟件的攻擊面。
• 備份和恢復：定期備份重要數據和系統對於減輕勒索軟件攻擊的影響至關重要。如果發生感染，可以恢復乾淨的數據，防止數據丟失和勒索企圖。
• 網絡分段：對網絡進行分段並將關鍵系統與安全性較低的系統隔離可以遏制惡意軟件的傳播。如果某個網段遭到破壞，惡意軟件就更難橫向移動並感染網絡的其他部分。
• 持續監控：採用安全工具和實踐進行持續監控有助於及早檢測和預防惡意軟件活動。可以及時識別異常和可疑行為，以便及時干預。
• 供應商和軟件評估：在將第三方軟件或服務集成到網絡中之前，組織應評估其安全措施和聲譽。這有助於防止通過受損軟件無意中引入惡意軟件。
• 協作和信息共享：隨時了解最新的惡意軟件趨勢和攻擊技術至關重要。與安全社區合作並共享威脅情報有助於主動防禦不斷變化的惡意軟件威脅。

總之，制定針對惡意軟件感染的措施對於保護數字資產、用戶隱私和系統的整體功能至關重要。結合技術、用戶教育和主動策略的多層方法對於有效減輕惡意軟件帶來的風險至關重要。