Rabatte für mehrere Lizenzen
Threat Database Malware Whiffy Recon-Malware

Whiffy Recon-Malware

Von Mezo in Malware
Übersetzen Sie in:
Deutsch

Cybersicherheitsspezialisten haben eine neue Art von Wi-Fi-Scan-Malware namens Whiffy Recon entdeckt. Die Bedrohung wird auf bereits kompromittierten Windows-Rechnern eingesetzt. Die für den Angriff verantwortlichen Cyberkriminellen nutzen die berüchtigte und bedrohliche SmokeLoader- Software als Liefervektor für Whiffy Recon.

Der neuartige Malware-Stamm hat eine einzigartige Funktion. In regelmäßigen Abständen von 60 Sekunden führt es einen Prozess durch, bei dem es die Positionen der infizierten Systeme ermittelt. Dies wird erreicht, indem Scans nahegelegener WLAN-Zugangspunkte durchgeführt werden und die gesammelten Daten als Referenzpunkte für die Abfrage der Geolokalisierungs-API von Google verwendet werden. Anschließend werden die von der Geolocation-API von Google erhaltenen Standortinformationen an den böswilligen Akteur, der hinter diesem Vorgang steht, zurückgesendet.

Der Whiffy Recon ist eine hochspezialisierte Bedrohung

Der Whiffy Recon prüft zunächst, ob der WLAN AutoConfig-Dienst (WLANSVC) auf dem infizierten System vorhanden ist. Wird der Dienstname nicht gefunden, beendet sich die Schadsoftware selbst. Der Scanner überprüft jedoch nicht, ob der Dienst funktioniert.

Um Persistenz zu erreichen, wird eine Verknüpfung erstellt und dem Windows-Startordner hinzugefügt.

Darüber hinaus ist die Malware so konfiguriert, dass sie eine Verbindung mit einem Remote-Command-and-Control-Server (C2) aufbaut. Dies wird durch das Senden einer zufällig generierten „botID“ in einer HTTP-POST-Anfrage erreicht. Der C2-Server antwortet mit einer Erfolgsmeldung und einer eindeutigen geheimen Kennung, die dann in einer Datei mit dem Namen „%APPDATA%\Roaming\wlan\str-12.bin“ gespeichert wird.

In der nächsten Phase des Angriffs werden mithilfe der Windows-WLAN-API alle 60 Sekunden Scans nach WLAN-Zugangspunkten durchgeführt. Die gesammelten Scan-Ergebnisse werden dann an die Google Geolocation API gesendet, um den genauen Standort des kompromittierten Systems zu triangulieren. Diese Informationen werden dann in Form eines JSON-Strings an den C2-Server übermittelt.

Forscher beobachten selten Fälle dieser Art von Aktivitäten und Fähigkeiten, die von kriminellen Akteuren eingesetzt werden. Obwohl es der Bedrohung durch Whiffy Recon an unmittelbarem Potenzial für eine schnelle Monetarisierung als eigenständige Fähigkeit mangelt, sind die Unsicherheiten hinsichtlich ihrer Absicht beunruhigend. Die besorgniserregende Realität ist, dass es zur Unterstützung einer Vielzahl unsicherer Ziele genutzt werden könnte.

Was die SmokeLoader-Bedrohung betrifft, so fungiert diese Malware, wie der Name schon sagt, in erster Linie als Loader. Sein einziger Zweck besteht darin, zusätzliche Nutzlasten auf dem Zielhost abzulegen. Seit 2014 kann diese Schadsoftware von in Russland ansässigen Bedrohungsakteuren erworben werden. Die Verbreitung erfolgt typischerweise über Phishing-E-Mails.

Die Festlegung von Maßnahmen gegen Malware-Infektionen ist von größter Bedeutung

Die Umsetzung von Maßnahmen zur Bekämpfung von Malware-Infektionen ist von größter Bedeutung. Malware oder bedrohliche Software stellt eine erhebliche Bedrohung für die Sicherheit und Funktionalität von Computersystemen, Netzwerken und Daten dar. Diese Bedrohungen reichen von unbefugtem Zugriff bis hin zu Datenschutzverletzungen, finanziellen Verlusten und Störungen kritischer Abläufe. Die Einrichtung wirksamer Maßnahmen gegen Malware ist für den Schutz digitaler Vermögenswerte und die Aufrechterhaltung der Systemintegrität von entscheidender Bedeutung.

  • Regelmäßige Software-Updates : Malware nutzt häufig bekannte Schwachstellen in Betriebssystemen und Software aus. Die Aktualisierung Ihrer gesamten Software durch das Hinzufügen von Sicherheitspatches und Updates ist von entscheidender Bedeutung, um potenzielle Eintrittspunkte für Malware zu schließen.
  • Benutzeraufklärung : Viele Malware-Angriffe richten sich gegen Benutzer durch Social-Engineering-Taktiken wie Phishing-E-Mails oder betrügerische Downloads. Die Aufklärung der Benutzer über die Risiken beim Klicken auf verdächtige Links, das Öffnen von Anhängen aus unbekannten Quellen und die Anwendung sicherer Surfgewohnheiten kann das Infektionsrisiko erheblich verringern.
  • Zugriffskontrolle und Rechteverwaltung : Die Einschränkung von Benutzerprivilegien und Zugriffsrechten kann die potenziellen Auswirkungen von Malware einschränken. Durch die Umsetzung des Prinzips der minimalen Privilegien wird sichergestellt, dass Benutzer nur Zugriff auf die für ihre Rolle erforderlichen Ressourcen haben, wodurch die Angriffsfläche für Malware verringert wird.
  • Sicherung und Wiederherstellung : Die regelmäßige Sicherung wichtiger Daten und Systeme ist unerlässlich, um die Auswirkungen von Ransomware-Angriffen abzuschwächen. Im Falle einer Infektion können saubere Daten wiederhergestellt werden, wodurch Datenverlust und Erpressungsversuche verhindert werden.
  • Netzwerksegmentierung : Die Segmentierung von Netzwerken und die Isolierung kritischer Systeme von weniger sicheren Systemen kann die Verbreitung von Malware eindämmen. Wenn ein Segment kompromittiert ist, ist es für die Malware schwieriger, sich seitlich auszubreiten und andere Teile des Netzwerks zu infizieren.
  • Kontinuierliche Überwachung : Der Einsatz von Sicherheitstools und -praktiken zur kontinuierlichen Überwachung hilft bei der Früherkennung und Verhinderung von Malware-Aktivitäten. Anomalien und verdächtiges Verhalten können zeitnah erkannt werden, sodass ein rechtzeitiges Eingreifen möglich ist.
  • Anbieter- und Softwarebewertung : Bevor Unternehmen Software oder Dienste von Drittanbietern in das Netzwerk integrieren, sollten Unternehmen ihre Sicherheitsmaßnahmen und ihren Ruf bewerten. Dies trägt dazu bei, das unbeabsichtigte Einschleusen von Malware durch kompromittierte Software zu verhindern.
  • Zusammenarbeit und Informationsaustausch : Es ist von entscheidender Bedeutung, über die neuesten Malware-Trends und Angriffstechniken informiert zu bleiben. Die Zusammenarbeit mit Sicherheitsgemeinschaften und der Austausch von Bedrohungsinformationen können zur proaktiven Abwehr sich entwickelnder Malware-Bedrohungen beitragen.

Zusammenfassend lässt sich sagen, dass die Festlegung von Maßnahmen gegen Malware-Infektionen von größter Bedeutung für den Schutz digitaler Vermögenswerte, der Privatsphäre der Benutzer und der Gesamtfunktionalität von Systemen ist. Ein mehrschichtiger Ansatz, der Technologie, Benutzerschulung und proaktive Strategien kombiniert, ist unerlässlich, um die von Malware ausgehenden Risiken wirksam zu mindern.

Im Trend

Am häufigsten gesehen

Wird geladen...