Malware de reconocimiento Whiffy

Especialistas en ciberseguridad han descubierto un nuevo tipo de malware de escaneo de Wi-Fi conocido como Whiffy Recon. La amenaza se está implementando en máquinas con Windows que ya han sido comprometidas. Los ciberdelincuentes responsables de la operación de ataque utilizan el famoso y amenazador software SmokeLoader como vector de entrega del Whiffy Recon.

La nueva cepa de malware tiene una función singular. A intervalos regulares de 60 segundos, realiza un proceso donde determina las posiciones de los sistemas infectados. Esto se logra realizando escaneos de puntos de acceso Wi-Fi cercanos, utilizando los datos recopilados como puntos de referencia para consultar la API de geolocalización de Google. Posteriormente, la información de ubicación obtenida de la API de geolocalización de Google se transmite al actor malicioso detrás de esta operación.

El Whiffy Recon es una amenaza altamente especializada

Whiffy Recon funciona comprobando primero la presencia del servicio WLAN AutoConfig (WLANSVC) en el sistema infectado. Si no se encuentra el nombre del servicio, el malware se termina solo. Sin embargo, el escáner no verifica si el servicio está funcionando.

Para lograr persistencia, se crea un acceso directo y se agrega a la carpeta de inicio de Windows.

Además, el malware está configurado para establecer una conexión con un servidor remoto de comando y control (C2). Esto se logra enviando un 'botID' generado aleatoriamente en una solicitud HTTP POST. El servidor C2 responde con un mensaje de éxito y un identificador secreto único, que luego se almacena en un archivo llamado '%APPDATA%\Roaming\wlan\str-12.bin'.

La siguiente fase del ataque implica realizar escaneos en busca de puntos de acceso Wi-Fi utilizando la API WLAN de Windows cada 60 segundos. Los resultados del escaneo recopilados luego se envían a la API de geolocalización de Google para triangular la ubicación precisa del sistema comprometido. Luego, esta información se transmite al servidor C2 en forma de una cadena JSON.

Los investigadores rara vez observan casos de este tipo de actividad y capacidad empleadas por actores criminales. Si bien la amenaza Whiffy Recon carece del potencial inmediato de monetización rápida como capacidad independiente, las incertidumbres que rodean su intención son inquietantes. La preocupante realidad es que podría aprovecharse para respaldar una amplia gama de objetivos inseguros.

En cuanto a la amenaza SmokeLoader, como su nombre indica, este malware funciona principalmente como un cargador. Su único propósito es colocar cargas útiles adicionales en el host objetivo. Desde 2014, este malware ha estado disponible para su compra por parte de actores de amenazas con sede en Rusia. Normalmente se propaga a través de correos electrónicos de phishing.

Establecer medidas contra las infecciones de malware es primordial

Es de suma importancia implementar medidas para contrarrestar las infecciones de malware. El malware o software amenazante plantea amenazas importantes a la seguridad y funcionalidad de los sistemas informáticos, las redes y los datos. Estas amenazas van desde acceso no autorizado hasta filtraciones de datos, pérdidas financieras e interrupción de operaciones críticas. Establecer medidas efectivas contra el malware es esencial para proteger los activos digitales y mantener la integridad de los sistemas.

• Actualizaciones periódicas de software : el malware a menudo aprovecha vulnerabilidades conocidas en los sistemas operativos y el software. Mantener todo su software actualizado agregando parches y actualizaciones de seguridad es crucial para cerrar posibles puntos de entrada de malware.
• Educación del usuario : muchos ataques de malware se dirigen a los usuarios mediante tácticas de ingeniería social, como correos electrónicos de phishing o descargas engañosas. Educar a los usuarios sobre los riesgos de hacer clic en enlaces sospechosos, abrir archivos adjuntos de fuentes desconocidas y adoptar hábitos de navegación seguros puede reducir significativamente el riesgo de infección.
• Control de acceso y gestión de privilegios : limitar los privilegios del usuario y los derechos de acceso puede restringir el impacto potencial del malware. La implementación del principio de privilegio mínimo garantiza que los usuarios solo tengan acceso a los recursos necesarios para sus funciones, lo que reduce la superficie de ataque del malware.
• Copia de seguridad y recuperación : realizar copias de seguridad periódicas de los datos y sistemas esenciales es fundamental para mitigar el impacto de los ataques de ransomware. En caso de infección, se pueden restaurar datos limpios, evitando la pérdida de datos y los intentos de extorsión.
• Segmentación de la red : segmentar las redes y aislar los sistemas críticos de los menos seguros puede contener la propagación de malware. Si un segmento está comprometido, es más difícil que el malware se mueva lateralmente e infecte otras partes de la red.
• Monitoreo continuo : el empleo de herramientas y prácticas de seguridad para el monitoreo continuo ayuda a la detección temprana y la prevención de actividades de malware. Las anomalías y los comportamientos sospechosos se pueden identificar rápidamente, lo que permite una intervención oportuna.
• Evaluación de proveedores y software : antes de integrar software o servicios de terceros en la red, las organizaciones deben evaluar sus medidas de seguridad y su reputación. Esto ayuda a evitar la introducción inadvertida de malware a través de software comprometido.
• Colaboración e intercambio de información : mantenerse informado sobre las últimas tendencias de malware y técnicas de ataque es fundamental. Colaborar con comunidades de seguridad y compartir inteligencia sobre amenazas puede ayudar a defenderse de forma proactiva contra las amenazas de malware en evolución.

En conclusión, establecer medidas contra las infecciones de malware es primordial para salvaguardar los activos digitales, la privacidad de los usuarios y la funcionalidad general de los sistemas. Un enfoque de múltiples capas que combine tecnología, educación de los usuarios y estrategias proactivas es esencial para mitigar eficazmente los riesgos que plantea el malware.