Logiciel malveillant Whiffy Recon

Un nouveau type de malware d'analyse Wi-Fi appelé Whiffy Recon a été découvert par des spécialistes de la cybersécurité. La menace est déployée sur les machines Windows déjà compromises. Les cybercriminels responsables de l'opération d'attaque utilisent le logiciel SmokeLoader , notoire et menaçant, comme vecteur de livraison du Whiffy Recon.

Cette nouvelle souche de malware a une fonction unique. À intervalles réguliers de 60 secondes, il effectue un processus au cours duquel il détermine les positions des systèmes infectés. Ceci est réalisé en effectuant des analyses des points d'accès Wi-Fi à proximité, en utilisant les données collectées comme points de référence pour interroger l'API de géolocalisation de Google. Par la suite, les informations de localisation obtenues grâce à l'API de géolocalisation de Google sont retransmises à l'acteur malveillant à l'origine de cette opération.

Le Whiffy Recon est une menace hautement spécialisée

Whiffy Recon fonctionne en vérifiant d'abord la présence du service WLAN AutoConfig (WLANSVC) sur le système infecté. Si le nom du service n'est pas trouvé, le malware se termine. Cependant, le scanner ne vérifie pas si le service fonctionne.

Pour assurer la persistance, un raccourci est créé et ajouté au dossier de démarrage de Windows.

De plus, le malware est configuré pour établir une connexion avec un serveur de commande et de contrôle (C2) distant. Ceci est réalisé en envoyant un « botID » généré aléatoirement dans une requête HTTP POST. Le serveur C2 répond avec un message de réussite et un identifiant secret unique, qui est ensuite stocké dans un fichier nommé « %APPDATA%\Roaming\wlan\str-12.bin ».

La phase suivante de l'attaque consiste à effectuer des analyses des points d'accès Wi-Fi à l'aide de l'API Windows WLAN toutes les 60 secondes. Les résultats de l'analyse collectés sont ensuite envoyés à l'API de géolocalisation de Google pour trianguler l'emplacement précis du système compromis. Ces informations sont ensuite transmises au serveur C2 sous la forme d'une chaîne JSON.

Les chercheurs observent rarement des cas où ce type d’activité et de capacité est utilisé par des acteurs criminels. Même si la menace Whiffy Recon ne dispose pas d’un potentiel immédiat de monétisation rapide en tant que capacité autonome, les incertitudes entourant son intention sont troublantes. La réalité inquiétante est qu’elle pourrait être exploitée pour soutenir un large éventail d’objectifs dangereux.

En ce qui concerne la menace SmokeLoader, comme son nom l’indique, ce malware fonctionne principalement comme un chargeur. Son seul objectif est de déposer des charges utiles supplémentaires sur l'hôte ciblé. Depuis 2014, ce malware est disponible à l'achat par les acteurs malveillants basés en Russie. Il se propage généralement via des e-mails de phishing.

L’établissement de mesures contre les infections par logiciels malveillants est primordial

La mise en œuvre de mesures pour contrer les infections par des logiciels malveillants est de la plus haute importance. Les logiciels malveillants, ou logiciels menaçants, constituent des menaces importantes pour la sécurité et la fonctionnalité des systèmes informatiques, des réseaux et des données. Ces menaces vont de l'accès non autorisé aux violations de données, aux pertes financières et à la perturbation des opérations critiques. La mise en place de mesures efficaces contre les logiciels malveillants est essentielle pour protéger les actifs numériques et maintenir l’intégrité des systèmes.

• Mises à jour régulières des logiciels : les logiciels malveillants exploitent souvent les vulnérabilités connues des systèmes d'exploitation et des logiciels. Garder tous vos logiciels à jour en ajoutant des correctifs de sécurité et des mises à jour est crucial pour fermer les points d’entrée potentiels des logiciels malveillants.
• Éducation des utilisateurs : de nombreuses attaques de logiciels malveillants ciblent les utilisateurs via des tactiques d'ingénierie sociale telles que des e-mails de phishing ou des téléchargements trompeurs. Éduquer les utilisateurs sur les risques liés au fait de cliquer sur des liens suspects, d’ouvrir des pièces jointes provenant de sources inconnues et d’adopter des habitudes de navigation sûres peut réduire considérablement le risque d’infection.
• Contrôle d'accès et gestion des privilèges : limiter les privilèges des utilisateurs et les droits d'accès peut limiter l'impact potentiel des logiciels malveillants. La mise en œuvre du principe des privilèges minimaux garantit que les utilisateurs n'ont accès qu'aux ressources nécessaires à leurs rôles, réduisant ainsi la surface d'attaque des logiciels malveillants.
• Sauvegarde et récupération : Il est essentiel de sauvegarder régulièrement les données et les systèmes essentiels pour atténuer l'impact des attaques de ransomware. En cas d'infection, des données propres peuvent être restaurées, empêchant ainsi la perte de données et les tentatives d'extorsion.
• Segmentation du réseau : segmenter les réseaux et isoler les systèmes critiques des systèmes moins sécurisés peuvent contenir la propagation des logiciels malveillants. Si un segment est compromis, il est plus difficile pour le malware de se déplacer latéralement et d'infecter d'autres parties du réseau.
• Surveillance continue : l'utilisation d'outils et de pratiques de sécurité pour la surveillance continue contribue à la détection précoce et à la prévention des activités de logiciels malveillants. Les anomalies et les comportements suspects peuvent être identifiés rapidement, permettant une intervention rapide.
• Évaluation des fournisseurs et des logiciels : avant d'intégrer des logiciels ou des services tiers dans le réseau, les organisations doivent évaluer leurs mesures de sécurité et leur réputation. Cela permet d’éviter l’introduction par inadvertance de logiciels malveillants via un logiciel compromis.
• Collaboration et partage d'informations : il est crucial de rester informé des dernières tendances en matière de logiciels malveillants et de techniques d'attaque. Collaborer avec les communautés de sécurité et partager des informations sur les menaces peut aider à se défendre de manière proactive contre l'évolution des menaces de logiciels malveillants.

En conclusion, la mise en place de mesures contre les infections par des logiciels malveillants est primordiale pour protéger les actifs numériques, la confidentialité des utilisateurs et la fonctionnalité globale des systèmes. Une approche multicouche combinant technologie, éducation des utilisateurs et stratégies proactives est essentielle pour atténuer efficacement les risques posés par les logiciels malveillants.